返回
web安全测试规范v13

web安全测试规范v13

ID:43446186

大小:1.33 MB

页数:66页

时间:2019-10-02

web安全测试规范v13_第1页
web安全测试规范v13_第2页
web安全测试规范v13_第3页
web安全测试规范v13_第4页
web安全测试规范v13_第5页
资源描述:

《web安全测试规范v13》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、安全测试工作规范文件状态[]草稿[丁]正式发布[]正在修改当前版本VI.0拟制H期2014-03-04审核日期批准日期深圳市XX有限公司二O—四年三月修订历史记录A-增加M-修订D-删除变更版本号II期变更类型(A*M*D)修改人摘燮备注VI.32014-03-04M修改文档,按照公司目前实际情况进行调整1概述51.1背景简介51.2适用读者51.3适用范围51.4安全测试在项目整体流程中所处的位置61.5安全测试在安全风险评估的关系说明61.6注意事项61.7测试用例级别说明72Web安全测试方法82.

2、1安全功能验证82.2漏洞扫描82.3模拟攻击实验82.4侦听技术83Appscan工具介绍93.1AppScan工作原理93.2AppScan扫描段103.3AppScan工具使用113.4AppScan工具测试覆盖项说明错误!未定义书签。4测试用例和规范标准194.1输入数据测试204.1.1SQL注入测试204.1.2命令执行测试254.2跨站脚本攻击测试264.2.1GET方式跨站脚本测试284.2.2POST方式跨站脚本测试294.2.3跨站脚本工具实例解析错误!未定义书签。3.2权限管理测试错

3、误!未定义书签。4.3.1横向测试错误!未定义书签。3.2.2纵向测试错误!未定义书签。3.3服务器信息收集错误!未定义书签。4.4.1运行账号权限测试错误!未定义书签。4.4.2Web服务器端口扫描错误!未定义书签。3.4文件、目录测试错误!未定义书签。4.5.1工具方式的敏感接口遍历错误!未定义书签。4.5.2目录列表测试错误!未定义书签。4.5.3文件归档测试错误!未定义书签。3.5认证测试错误!未定义书签。4.6.1验证码测试错误!未定义书签。4.6.2认证错误提示错误!未定义书签。4.6.3锁定

4、策略测试错误!未定义书签。4.6.4认证绕过测试错误!未定义书签。4.6.5修复密码测试错误!未定义书签。4.6.6不安全的数据传输错误!未定义书签。4.6.7强口令策略测试错误!未定义书签。3.6会话管理测试错误!未定义书签。4.7.1身份信息维护方式测试错误!未定义书签。4.7.2Cookie存储方式测试错误!未定义书签。4.7.3用户注销登陆的方式测试错误!未定义书签。4.7.4注销时会话信息是否清除测试错误!未定义书签。4.7.5会话超时时I'可测试错误!未定义书签。4.7.6会话定置测试错误!未

5、定义书签。3.7文件上传下载测试错误!未定义书签。4.&1文件上传测试错误!未定义书签。4.&2文件下载测试错误!未定义书签。3.8信息泄漏测试错误!未定义书签。4.9.1连接数据库的账号密码加密测试错误!未定义书签。4.9.2客户端源代码敏感信息测试错误!未定义书签。4.9.3客户端源代码注释测试错误!未定义书签。4.9.4异常处理错误!未定义书签。4.9.5不安全的存储错误!未定义书签。4.10逻辑测试错误!未定义书签。4.11其他错误!未定义书签。4.11.1Class文件反编译测试错误!未定义书签

6、。5本规范所涉及的测试工具错误!未定义书签。1概述1.1背景简介为了规避安全风险、规范代码的安全开发,以及如何系统的进行安全性测试,目前缺少相应的理论和方法支撑。为此,我们制定《安全测试规范》,本规范可让测试人员针对常见安全漏洞或攻击方式,系统的对被测系统进行快速安全性测试。1.2适用读者木规范的读者及使用对象主要为测试人员、开发人员等。1・3适用范冃本规范主要针对基于通用服务器的Web应用系统为例,其他系统也可以参考。如下图例说明了一种典型的基于通用服务器的Web应用系统:本规范中的方法以攻击性测试为主

7、。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最佳安全实践。1.4安全测试在项目整体流程中所处的位置一般建议在集成测试前根据产品实现架构及安全需求,完成安全性测试需求分析和测试设计,准备好安全测试用例。在集成版本正式转测试后,即可进行安全测试。如果产品质量不稳定,前期功能性问题较多,则可适当推后安全测试执行。1.5安全测试在安全风险评估的关系说明安全风险是指威胁利用漏洞对目标系统造成安全影响的可能性及严重程度。其中威胁是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。漏洞也

8、称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的漏洞等。外部威胁利用系统的漏洞达到破坏系统安全运行的目的。本规范所描述的安全测试仅是安全风险评估屮的一个活动,对应于安全风险评估过程中的漏洞识别部分,特别是技术性的漏洞识别。完整的安全风险评估过程、概念见GB/T20984-2007《信息安全技术信息安全风险评估规范》。1.6注意事项>安全测试的执行,对于被测系统,或多或少都会存在一些影响(比如性能、垃圾数据),只能在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。