返回
Web安全教学教案标准规范

Web安全教学教案标准规范

ID:43428837

大小:1.45 MB

页数:111页

时间:2019-09-30

Web安全教学教案标准规范_第1页
Web安全教学教案标准规范_第2页
Web安全教学教案标准规范_第3页
Web安全教学教案标准规范_第4页
Web安全教学教案标准规范_第5页
资源描述:

《Web安全教学教案标准规范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、/'DKBA华为技术有限公司内部技术规范DKBA2355-2009.7Web应用安全测试规范V1.4/'2009年7月5日发布2009年7月5日实施华为技术有限公司HuaweiTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved/'修订声明Revisiondeclaration本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件:《Web应用安全开发规范》相关国际规范或文件一致性:《OWASPTestin

2、gGuidev3》《信息安全技术信息安全风险评估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作废的其它规范或文件:无相关规范或文件的相互关系:本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1安全解决方案:赵武、吕晓雨56987、王欢00104062业务与软件测试部

3、系统部:孟咏喜00137435安全解决方案:刘海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、刘高峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部:张喆核心网:车广芳、苏三、刘京、冻良V1.2何伟祥33428刘高峰、吴宇翔、杨光磊、王欢、胡坤红、张伟、孟咏喜、成庆华、黎迎斌、周鹏、张喆、文桂林、张理、姜永章、苏燕鲁增加Web/'Service、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项V1.3何伟祥00162822刘高峰、胡坤红、张伟增加“会话

4、固定”、“审计日志”、“DWR”的安全测试规范,完善验证码安全测试的方法。V1.4刘振南00264924胡坤红、张伟、宋飞、夏成林、王欢、沈海涛、钱育波、石功新增以下内容:3.3.5SEC_Web_DIR_05_02版本控制软件SVN备份文件测试3.5.8会话标识随机性测试3.6.3跨站伪造请求测试3.9.2LDAP注入测试3.9.5回车换行符(CRLF)注入测试3.9.6XML注入测试3.13SEC_Web_SERVICE_02WebService测试3.15HTML5安全测试3.16FLASH安全配置测试3.17.

5、3WEB部署与管理测试3.17.4Struts2框架测试5.2HTML5新增标签/'目录TableofContents1概述91.1背景简介91.2适用读者91.3适用范围91.4安全测试在IPD流程中所处的位置101.5安全测试与安全风险评估的关系说明101.6注意事项111.7测试用例级别说明112测试过程示意图123WEB安全测试规范133.1自动化Web漏洞扫描工具测试133.1.1AppScanapplication扫描测试143.1.2AppScanWebService扫描测试153.2服务器信息收集153

6、.2.1运行帐号权限测试153.2.2Web服务器端口扫描163.2.3HTTP方法测试163.2.4HTTPPUT方法测试173.2.5HTTPDELETE方法测试183.2.6HTTPTRACE方法测试193.2.7HTTPMOVE方法测试203.2.8HTTPCOPY方法测试20/'3.2.9Web服务器版本信息收集213.3文件、目录测试223.3.1工具方式的敏感接口遍历223.3.2Robots方式的敏感接口查找243.3.3Web服务器的控制台253.3.4目录列表测试273.3.5文件归档测试293.4

7、认证测试303.4.1验证码测试303.4.2认证错误提示313.4.3锁定策略测试323.4.4认证绕过测试333.4.5找回密码测试333.4.6修改密码测试343.4.7不安全的数据传输353.4.8强口令策略测试363.5会话管理测试373.5.1身份信息维护方式测试373.5.2Cookie存储方式测试383.5.3用户注销登陆的方式测试383.5.4注销时会话信息是否清除测试393.5.5会话超时时间测试40/'3.5.6会话定置测试403.5.7会话标识携带413.5.8会话标识随机性测试423.6权限管

8、理测试463.6.1横向测试473.6.2纵向测试493.6.3跨站伪造请求测试543.7文件上传下载测试563.7.1文件上传测试563.7.2文件下载测试573.8信息泄漏测试593.8.1连接数据库的帐号密码加密测试593.8.2客户端源代码敏感信息测试593.8.3客户端源代码注释测试603.8.4异常处理603.8.5H

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。