Web安全测试规范_V1.2.1

Web安全测试规范_V1.2.1

ID:40207589

大小:2.40 MB

页数:64页

时间:2019-07-25

Web安全测试规范_V1.2.1_第1页
Web安全测试规范_V1.2.1_第2页
Web安全测试规范_V1.2.1_第3页
Web安全测试规范_V1.2.1_第4页
Web安全测试规范_V1.2.1_第5页
资源描述:

《Web安全测试规范_V1.2.1》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Web应用安全测试规范内部公开DKBA华为技术有限公司内部技术规范DKBA2355-2009.7Web应用安全测试规范V1.22009年7月5日发布2009年7月5日实施华为技术有限公司HuaweiTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved2021-8-25华为机密,未经许可不得扩散第1页,共64页文档名称文档密级修订声明Revisiondeclaration本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件:《Web应用安全开发

2、规范》相关国际规范或文件一致性:《OWASPTestingGuidev3》《信息安全技术信息安全风险评估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作废的其它规范或文件:无相关规范或文件的相互关系:本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1安全解决方案:赵武、吕晓雨56987、王欢0010406

3、2业务与软件测试部系统部:孟咏喜00137435安全解决方案:刘海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、刘高峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部:张喆核心网:车广芳、苏三、刘京、冻良V1.2何伟祥33428刘高峰、吴宇翔、杨光磊、王欢、胡坤红、张伟、孟咏喜、成庆华、黎迎斌、周鹏、张喆、文桂林、张理、姜永章、苏燕鲁增加WebService、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项2021-8-25华为机密,未经许可不得扩散第64页,共64页文档名称文档密级目录T

4、ableofContents1概述71.1背景简介71.2适用读者71.3适用范围71.4安全测试在IPD流程中所处的位置81.5安全测试与安全风险评估的关系说明81.6注意事项91.7测试用例级别说明92测试过程示意图103WEB安全测试规范113.1自动化Web漏洞扫描工具测试113.1.1AppScanapplication扫描测试123.1.2AppScanWebService扫描测试133.2服务器信息收集133.2.1运行帐号权限测试133.2.2Web服务器端口扫描143.2.3HTTP方法测试143.2.4HTTPPUT方法测试153.2.

5、5HTTPDELETE方法测试163.2.6HTTPTRACE方法测试173.2.7HTTPMOVE方法测试173.2.8HTTPCOPY方法测试183.2.9Web服务器版本信息收集193.3文件、目录测试203.3.1工具方式的敏感接口遍历203.3.2Robots方式的敏感接口查找222021-8-25华为机密,未经许可不得扩散第64页,共64页文档名称文档密级3.3.3Web服务器的控制台233.3.4目录列表测试243.3.5文件归档测试273.4认证测试283.4.1验证码测试283.4.2认证错误提示293.4.3锁定策略测试293.4.4认

6、证绕过测试303.4.5找回密码测试313.4.6修改密码测试313.4.7不安全的数据传输323.4.8强口令策略测试333.5会话管理测试353.5.1身份信息维护方式测试353.5.2Cookie存储方式测试353.5.3用户注销登陆的方式测试363.5.4注销时会话信息是否清除测试363.5.5会话超时时间测试373.5.6会话定置测试383.6权限管理测试393.6.1横向测试403.6.2纵向测试413.7文件上传下载测试463.7.1文件上传测试463.7.2文件下载测试473.8信息泄漏测试483.8.1连接数据库的帐号密码加密测试483.

7、8.2客户端源代码敏感信息测试493.8.3客户端源代码注释测试492021-8-25华为机密,未经许可不得扩散第64页,共64页文档名称文档密级3.8.4异常处理503.8.5HappyAxis.jsp页面测试513.8.6Web服务器状态信息测试523.8.7不安全的存储533.9输入数据测试533.9.1SQL注入测试533.9.2MML语法注入553.9.3命令执行测试563.10跨站脚本攻击测试563.10.1GET方式跨站脚本测试563.10.2POST方式跨站脚本测试573.11逻辑测试583.12搜索引擎信息收集593.13WebServi

8、ce测试593.14其他623.14.1class文件反编译测试6

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。