Web安全教学教案标准规范

(114页)

(此文档疑似侵权,无法预览全文,无法下载。)
'Web安全教学教案标准规范'
/'DKBA华为技术有限公司内部技术规范DKBA 2355-2009.7Web应用安全测试规范V1.42009年7月5日发布 2009年7月5日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有 侵权必究All rights reserved/'修订声明Revision declaration本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件:《Web应用安全开发规范》相关国际规范或文件一致性:《OWASP Testing Guide v3》《信息安全技术信息安全风险评估指南》《Information technology Security techniques Management of information and communications technology security》-ISO 13335替代或作废的其它规范或文件:无相关规范或文件的相互关系:本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1安全解决方案:赵武、吕晓雨56987、王欢00104062业务与软件测试部系统部:孟咏喜00137435安全解决方案:刘海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、刘高峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部:张喆核心网:车广芳、苏三、刘京、冻良V1.2何伟祥33428刘高峰、吴宇翔、杨光磊、王欢、胡坤红、张伟、孟咏喜、成庆华、黎迎斌、周鹏、张喆、文桂林、张理、姜永章、苏燕鲁增加Web Service、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项V1.3何伟祥00162822刘高峰、胡坤红、张伟增加“会话固定”、“审计日志”、“DWR”的安全测试规范,完善验证码安全测试的方法。V1.4刘振南 00264924胡坤红、张伟、宋飞、夏成林、王欢、沈海涛、钱育波、石功新增以下内容:3.3.5 SEC_Web_ DIR_05_02 版本控制软件SVN备份文件测试 3.5.8 会话标识随机性测试 3.6.3 跨站伪造请求测试 3.9.2 LDAP注入测试 3.9.5 回车换行符(CRLF)注入测试 3.9.6 XML注入测试 3.13 SEC_Web_SERVICE_02 Web Service测试 3.15 HTML5安全测试 3.16 FLASH安全配置测试 3.17.3 WEB部署与管理测试 3.17.4 Struts2框架测试 5.2 HTML5新增标签 目 录 Table of Contents1 概述 91.1 背景简介 91.2 适用读者 91.3 适用范围 91.4 安全测试在IPD流程中所处的位置 101.5 安全测试与安全风险评估的关系说明 101.6 注意事项 111.7 测试用例级别说明 112 测试过程示意图 123 WEB安全测试规范 133.1 自动化Web漏洞扫描工具测试 133.1.1 AppScan application扫描测试 143.1.2 AppScan Web Service 扫描测试 153.2 服务器信息收集 153.2.1 运行帐号权限测试 153.2.2 Web服务器端口扫描 163.2.3 HTTP方法测试 163.2.4 HTTP PUT方法测试 173.2.5 HTTP DELETE方法测试 183.2.6 HTTP TRACE方法测试 193.2.7 HTTP MOVE方法测试 203.2.8 HTTP COPY方法测试 203.2.9 Web服务器版本信息收集 213.3 文件、目录测试 223.3.1 工具方式的敏感接口遍历 223.3.2 Robots方式的敏感接口查找 243.3.3 Web服务器的控制台 253.3.4 目录列表测试 273.3.5 文件归档测试 293.4 认证测试 303.4.1 验证码测试 303.4.2 认证错误提示 313.4.3 锁定策略测试 323.4.4 认证绕过测试 333.4.5 找回密码测试 333.4.6 修改密码测试 343.4.7 不安全的数据传输 353.4.8 强口令策略测试 363.5 会话管理测试 373.5.1 身份信息维护方式测试 373.5.2 Cookie存储方式测试 383.5.3 用户注销登陆的方式测试 383.5.4 注销时会话信息是否清除测试 393.5.5 会话超时时间测试 403.5.6 会话定置测试 403.5.7 会话标识携带 413.5.8 会话标识随机性测试 423.6 权限管理测试 463.6.1 横向测试 473.6.2 纵向测试 493.6.3 跨站伪造请求测试 543.7 文件上传下载测试 563.7.1 文件上传测试 563.7.2 文件下载测试 573.8 信息泄漏测试 593.8.1 连接数据库的帐号密码加密测试 593.8.2 客户端源代码敏感信息测试 593.8.3 客户端源代码注释测试 603.8.4 异常处理 603.8.5 HappyAxis.jsp页面测试 623.8.6 Web服务器状态信息测试 633.8.7 不安全的存储 633.9 输入数据测试 643.9.1 SQL注入测试 643.9.2 LDAP注入测试 663.9.3 MML语法注入 663.9.4 命令执行测试 673.9.5 回车换行符(CRLF)注入测试 683.9.6 XML注入测试 703.10 跨站脚本测试 733.10.1 GET方式跨站脚本测试 733.10.2 POST方式跨站脚本测试 743.10.3 URL跨站脚本测试 753.11 逻辑测试 763.12 搜索引擎信息收集 763.13 Web Service测试 773.14 DWR(Direct Web Remoting)测试 813.15 HTML5安全测试 833.15.1 跨域资源共享测试 833.15.2 Web客户端存储安全测试 863.15.3 WebWorker安全测试 893.16 FLASH安全配置测试 903.17 其他 913.17.1 日志审计 913.17.2 class
关 键 词:
Web 安全 教学 教案 标准规范
 天天文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:Web安全教学教案标准规范
链接地址: https://www.wenku365.com/p-43428837.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给天天文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 https://www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开