返回
web应用安全测试规范

web应用安全测试规范

ID:18470521

大小:1.97 MB

页数:63页

时间:2018-09-18

web应用安全测试规范_第1页
web应用安全测试规范_第2页
web应用安全测试规范_第3页
web应用安全测试规范_第4页
web应用安全测试规范_第5页
资源描述:

《web应用安全测试规范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Web应用安全测试规范DKBA内部公开DKBADKBA2355-2009.7Web应用安全测试规范V1.22009年7月5日发布2009年7月5日实施版权所有侵权必究Allrightsreserved修订声明Revisiondeclaration本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件:《Web应用安全开发规范》相关国际规范或文件一致性:《OWASPTestingGuidev3》《信息安全技术信息安全风险评估指南》《Information

2、technologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作废的其它规范或文件:无相关规范或文件的相互关系:本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1V1.2增加WebService、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项目录TableofContents1概述71.1背景简介

3、71.2适用读者71.3适用范围71.4安全测试在IPD流程中所处的位置81.5安全测试与安全风险评估的关系说明81.6注意事项91.7测试用例级别说明92测试过程示意图103WEB安全测试规范113.1自动化Web漏洞扫描工具测试113.1.1AppScanapplication扫描测试123.1.2AppScanWebService扫描测试133.2服务器信息收集133.2.1运行帐号权限测试133.2.2Web服务器端口扫描143.2.3HTTP方法测试143.2.4HTTPPUT方法测试153.2.5HTTPDELET

4、E方法测试163.2.6HTTPTRACE方法测试173.2.7HTTPMOVE方法测试173.2.8HTTPCOPY方法测试183.2.9Web服务器版本信息收集193.3文件、目录测试203.3.1工具方式的敏感接口遍历203.3.2Robots方式的敏感接口查找223.3.3Web服务器的控制台233.3.4目录列表测试243.3.5文件归档测试273.4认证测试283.4.1验证码测试283.4.2认证错误提示293.4.3锁定策略测试293.4.4认证绕过测试303.4.5找回密码测试313.4.6修改密码测试313

5、.4.7不安全的数据传输323.4.8强口令策略测试333.5会话管理测试353.5.1身份信息维护方式测试353.5.2Cookie存储方式测试353.5.3用户注销登陆的方式测试363.5.4注销时会话信息是否清除测试363.5.5会话超时时间测试373.5.6会话定置测试383.6权限管理测试393.6.1横向测试403.6.2纵向测试413.7文件上传下载测试463.7.1文件上传测试463.7.2文件下载测试473.8信息泄漏测试483.8.1连接数据库的帐号密码加密测试483.8.2客户端源代码敏感信息测试493.

6、8.3客户端源代码注释测试493.8.4异常处理503.8.5HappyAxis.jsp页面测试513.8.6Web服务器状态信息测试523.8.7不安全的存储533.9输入数据测试533.9.1SQL注入测试533.9.2MML语法注入553.9.3命令执行测试563.10跨站脚本攻击测试563.10.1GET方式跨站脚本测试563.10.2POST方式跨站脚本测试573.11逻辑测试583.12搜索引擎信息收集593.13WebService测试593.14其他623.14.1class文件反编译测试624APPSCAN测

7、试覆盖项说明635附件645.1本规范所涉及的测试工具64Web安全测试规范缩略语清单缩略语全称CRLFr回车换行LDAPLightweight Directory Access Protocol轻量级目录访问协议MMLman-machinelanguage人机交互语言SessionID标志会话的IDWebServiceWeb服务是一种面向服务的架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。SOAPSimpleObjectAccessProtocol简单对象访问协议XFSCrossFr

8、ameScript跨帧脚本XSSCrossSiteScript跨站脚本1概述1.1背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破坏不断增多,在线安全面临日益严峻的挑战,安全风险达到了前所未有的高度。为了规避Web安全风险、规

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。