web安全測試規(guī)范new

web安全測試規(guī)范new

ID:19644798

大?。?.96 MB

頁數(shù):63頁

時間:2018-10-04

web安全測試規(guī)范new_第1頁
web安全測試規(guī)范new_第2頁
web安全測試規(guī)范new_第3頁
web安全測試規(guī)范new_第4頁
web安全測試規(guī)范new_第5頁
資源描述:

《web安全測試規(guī)范new》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、Web應(yīng)用安全測試規(guī)范Web應(yīng)用安全測試規(guī)范V1.2內(nèi)部公開Web應(yīng)用安全測試規(guī)范大旗軟件有限公司DAQSOFTCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved2021-7-2華為機密,未經(jīng)許可不得擴散第1頁,共64頁WEB安全測試規(guī)范修訂聲明Revisiondeclaration本規(guī)范擬制與解釋部門:安全解決方案部電信網(wǎng)絡(luò)與業(yè)務(wù)安全實驗室、軟件公司安全TMG、軟件公司測試業(yè)務(wù)管理部本規(guī)范的相關(guān)系列規(guī)范或文件:《Web應(yīng)用安全開發(fā)規(guī)范》相關(guān)國際規(guī)范或文件一致性:《OWASPTestingGu

2、idev3》《信息安全技術(shù)信息安全風(fēng)險評估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作廢的其它規(guī)范或文件:無相關(guān)規(guī)范或文件的相互關(guān)系:本規(guī)范以《Web應(yīng)用安全開發(fā)規(guī)范》為基礎(chǔ)、結(jié)合Web應(yīng)用的特點而制定。版本號主要起草部門專家主要評審部門專家修訂情況V1開發(fā)部開發(fā)部DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范目錄

3、TableofContents1概述71.1背景簡介71.2適用讀者71.3適用范圍71.4安全測試在IPD流程中所處的位置81.5安全測試與安全風(fēng)險評估的關(guān)系說明81.6注意事項91.7測試用例級別說明92測試過程示意圖103WEB安全測試規(guī)范113.1自動化Web漏洞掃描工具測試113.1.1AppScanapplication掃描測試123.1.2AppScanWebService掃描測試133.2服務(wù)器信息收集133.2.1運行帳號權(quán)限測試133.2.2Web服務(wù)器端口掃描143.2.3HTTP方法測

4、試143.2.4HTTPPUT方法測試153.2.5HTTPDELETE方法測試163.2.6HTTPTRACE方法測試173.2.7HTTPMOVE方法測試173.2.8HTTPCOPY方法測試183.2.9Web服務(wù)器版本信息收集193.3文件、目錄測試203.3.1工具方式的敏感接口遍歷203.3.2Robots方式的敏感接口查找223.3.3Web服務(wù)器的控制臺23DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范3.3.4目錄列表測試243.3.5文件歸檔測試273.4認證測試283.4.1

5、驗證碼測試283.4.2認證錯誤提示293.4.3鎖定策略測試293.4.4認證繞過測試303.4.5找回密碼測試313.4.6修改密碼測試313.4.7不安全的數(shù)據(jù)傳輸323.4.8強口令策略測試333.5會話管理測試353.5.1身份信息維護方式測試353.5.2Cookie存儲方式測試353.5.3用戶注銷登陸的方式測試363.5.4注銷時會話信息是否清除測試363.5.5會話超時時間測試373.5.6會話定置測試383.6權(quán)限管理測試393.6.1橫向測試403.6.2縱向測試413.7文件上傳下載測

6、試463.7.1文件上傳測試463.7.2文件下載測試473.8信息泄漏測試483.8.1連接數(shù)據(jù)庫的帳號密碼加密測試483.8.2客戶端源代碼敏感信息測試493.8.3客戶端源代碼注釋測試493.8.4異常處理50DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范3.8.5HappyAxis.jsp頁面測試513.8.6Web服務(wù)器狀態(tài)信息測試523.8.7不安全的存儲533.9輸入數(shù)據(jù)測試533.9.1SQL注入測試533.9.2MML語法注入553.9.3命令執(zhí)行測試563.10跨站腳本攻擊測試

7、563.10.1GET方式跨站腳本測試563.10.2POST方式跨站腳本測試573.11邏輯測試583.12搜索引擎信息收集593.13WebService測試593.14其他623.14.1class文件反編譯測試624APPSCAN測試覆蓋項說明635附件645.1本規(guī)范所涉及的測試工具64DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范Web安全測試規(guī)范縮略語清單縮略語全稱CRLFr回車換行LDAPLightweight?Directory?Access?Protocol輕量級目錄訪問

8、協(xié)議MMLman-machinelanguage人機交互語言SessionID標(biāo)志會話的IDWebServiceWeb服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù),通過標(biāo)準(zhǔn)的Web協(xié)議提供服務(wù),目的是保證不同平臺的應(yīng)用服務(wù)可以互操作。SOAPSimpleObjectAccessProtocol簡單對象訪問協(xié)議XFSCrossFrameScript跨幀腳本XSSCrossSiteScript跨站腳本DAQSoft2

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。