欢迎来到天天文库
浏览记录
ID:11159056
大小:1.98 MB
页数:62页
时间:2018-07-10
《web应用安全测试技巧》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Web应用安全测试规范DKBA内部公开Web应用安全测试技巧文档名称文档密级目录TableofContents1概述71.1背景简介71.2适用读者71.3适用范围71.4安全测试在IPD流程中所处的位置81.5安全测试与安全风险评估的关系说明81.6注意事项91.7测试用例级别说明92测试过程示意图103WEB安全测试规范113.1自动化Web漏洞扫描工具测试113.1.1AppScanapplication扫描测试123.1.2AppScanWebService扫描测试133.2服务器信息收集133.2.1运行帐号权限测试133.2.2We
2、b服务器端口扫描143.2.3HTTP方法测试143.2.4HTTPPUT方法测试153.2.5HTTPDELETE方法测试163.2.6HTTPTRACE方法测试173.2.7HTTPMOVE方法测试173.2.8HTTPCOPY方法测试183.2.9Web服务器版本信息收集193.3文件、目录测试203.3.1工具方式的敏感接口遍历20文档名称文档密级3.3.2Robots方式的敏感接口查找223.3.3Web服务器的控制台233.3.4目录列表测试243.3.5文件归档测试273.4认证测试283.4.1验证码测试283.4.2认证错误提
3、示293.4.3锁定策略测试293.4.4认证绕过测试303.4.5找回密码测试313.4.6修改密码测试313.4.7不安全的数据传输323.4.8强口令策略测试333.5会话管理测试353.5.1身份信息维护方式测试353.5.2Cookie存储方式测试353.5.3用户注销登陆的方式测试363.5.4注销时会话信息是否清除测试363.5.5会话超时时间测试373.5.6会话定置测试383.6权限管理测试393.6.1横向测试403.6.2纵向测试413.7文件上传下载测试463.7.1文件上传测试463.7.2文件下载测试473.8信息泄
4、漏测试483.8.1连接数据库的帐号密码加密测试483.8.2客户端源代码敏感信息测试49文档名称文档密级3.8.3客户端源代码注释测试493.8.4异常处理503.8.5HappyAxis.jsp页面测试513.8.6Web服务器状态信息测试523.8.7不安全的存储533.9输入数据测试533.9.1SQL注入测试533.9.2MML语法注入553.9.3命令执行测试563.10跨站脚本攻击测试563.10.1GET方式跨站脚本测试563.10.2POST方式跨站脚本测试573.11逻辑测试583.12搜索引擎信息收集593.13WebSe
5、rvice测试593.14其他623.14.1class文件反编译测试624APPSCAN测试覆盖项说明635附件645.1本规范所涉及的测试工具64文档名称文档密级Web安全测试规范缩略语清单缩略语全称CRLFr回车换行LDAPLightweight Directory Access Protocol轻量级目录访问协议MMLman-machinelanguage人机交互语言SessionID标志会话的IDWebServiceWeb服务是一种面向服务的架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。SOA
6、PSimpleObjectAccessProtocol简单对象访问协议XFSCrossFrameScript跨帧脚本XSSCrossSiteScript跨站脚本文档名称文档密级1概述1.1背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破坏不断增多,在线安全面临日益严峻的挑战,安全风险达到了前所未有的高度。为了规避Web安全风险、规范Web安全开发,公司已经制定并发布了《Web应用安全开发规范》;但如何系统的进行Web安全性测试,目前缺少相应的理论和方法支撑。为此,我们制定《Web安全测试规范》,
7、本规范可让测试人员针对Web常见安全漏洞或攻击方式,系统的对被测Web系统进行快速安全性测试。1.2适用读者本规范的读者及使用对象主要为Web相关的测试人员、开发人员、专职的安全测试评估人员等。1.3适用范围本规范主要针对基于通用服务器的Web应用系统,其他Web系统也可以参考,如基于嵌入式系统的Web维护接口等。如下图例说明了一种典型的基于通用服务器的Web应用系统:文档名称文档密级Web应用应用服务器¨Uniportal¨JBoss¨……客户端Web服务器¨IIS¨Apache¨……数据库服务器¨Oracle¨DB2¨……本规范中的方法以攻
8、击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最佳安全实践,涵盖Web安全开发规范的内容。1.1安全测试在IPD流程中所处的
此文档下载收益归作者所有