web应用安全测试规范.docx
《web应用安全测试规范.docx》由会员分享,可在线阅读,更多相关《web应用安全测试规范.docx(14页珍藏版)》请在冰豆网上搜索。
web应用安全测试规范
竭诚为您提供优质文档/双击可除
web应用安全测试规范
篇一:
web安全测试规范
dkba
华为技术有限公司内部技术规范
dkba2355-20xx.7
web应用安全测试规范V1.4
20xx年7月5日发布20xx年7月5日实施
华为技术有限公司
huaweitechnologiesco.,ltd.
版权所有XX
allrightsreserved
修订声明Revisiondeclaration
本规范拟制与解释部门:
安全解决方案部电信网络与业务安全实验室、软件公司安全tmg、软件公司测试业务管理部
本规范的相关系列规范或文件:
《web应用安全开发规范》
相关国际规范或文件一致性:
《owasptestingguidev3》
《信息安全技术信息安全风险评估指南》
《informationtechnologysecuritytechniquesmanagementofinformationandcommunicationstechnologysecurity》-iso13335
替代或作废的其它规范或文件:
无
相关规范或文件的相互关系:
本规范以《web应用安全开发规范》为基础、结合web应用的特点而制定。
目录tableofcontents
1
1.1
1.2
1.3
1.4
1.5
1.6
1.7
2
3
3.1概述.........................................................................................................................................9背景简介.................................................................................................................................9适用读者.................................................................................................................................9适用范围.................................................................................................................................9安全测试在ipd流程中所处的位置.....................................................................................10安全测试与安全风险评估的关系说明................................................................................10注意事项...............................................................................................................................11测试用例级别说明...............................................................................................................11测试过程示意图...................................................................................................................12web安全测试规范..............................................................................................................13自动化web漏洞扫描工具测试............................................................................................13
3.1.1appscanapplication扫描测试................................................................14
3.1.2appscanwebservice扫描测试...........................................................15
3.2服务器信息收集...................................................................................................................15
3.2.1运行帐号权限测试.....................................................................................15
3.2.2web服务器端口扫描.................................................................................16
3.2.3http方法测试..........................................................................................16
3.2.4httpput方法测试.................................................................................17
3.2.5httpdelete方法测试..........................................................................18
3.2.6httptRace方法测试............................................................................19
3.2.7httpmoVe方法测试..............................................................................20
3.2.8httpcopy方法测试..............................................................................20
3.2.9web服务器版本信息收集.........................................................................21
3.3文件、目录测试...................................................................................................................22
3.3.1工具方式的敏感接口遍历.........................................................................22
3.3.2Robots方式的敏感接口查找....................................................................24
3.3.3web服务器的控制台.................................................................................25
3.3.4目录列表测试.............................................................................................27
3.3.5文件归档测试.............................................................................................29
3.4认证测试...............................................................................................................................30
3.4.1验证码测试.................................................................................................30
3.4.2认证错误提示.............................................................................................31
3.4.3锁定策略测试.............................................................................................32
3.4.4认证绕过测试.............................................................................................33
3.4.5找回密码测试.............................................................................................33
3.4.6修改密码测试.............................................................................................34
3.4.7不安全的数据传输.....................................................................................35
3.4.8强口令策略测试.........................................................................................36
3.5会话管理测试.......................................................................................................................37
3.5.1身份信息维护方式测试.............................................................................37
3.5.2cookie存储方式测试................................................................................38
3.5.3用户注销登陆的方式测试.........................................................................38
3.5.4注销时会话信息是否清除测试.................................................................39
3.5.5会话超时时间测试.....................................................................................40
3.5.6会话定置测试.............................................................................................40
3.5.7会话标识携带.............................................................................................41
3.5.8会话标识随机性测试.................................................................................42
3.6权限管理测试.......................................................................................................................46
3.6.1横向测试.....................................................................................................47
3.6.2纵向测试.....................................................................................................49
3.6.3跨站伪造请求测试.....................................................................................54
3.7文件上传下载测试...............................................................................................................56
3.7.1文件上传测试.............................................................................................56
3.7.2文件下载测试.............................................................................................57
篇二:
web应用安全测试规范
dkba
dkba2355-20xx.7
web应用安全测试规范V1.2
20xx年7月5日发布20xx年7月5日实施
版权所有XX
allrightsreserved
修订声明Revisiondeclaration
本规范拟制与解释部门:
安全解决方案部电信网络与业务安全实验室、软件公司安全tmg、软件公司测试业务管理部
本规范的相关系列规范或文件:
《web应用安全开发规范》
相关国际规范或文件一致性:
《owasptestingguidev3》
《信息安全技术信息安全风险评估指南》
《informationtechnologysecuritytechniquesmanagementofinformationandcommunicationstechnologysecurity》-iso13335
替代或作废的其它规范或文件:
无
相关规范或文件的相互关系:
本规范以《web应用安全开发规范》为基础、结合web应用的特点而制定。
目录tableofcontents
1
1.1
1.2
1.3
1.4
1.5
1.6
1.7
2
3
3.1概述.........................................................................................................................................7背景简介.................................................................................................................................7适用读者.................................................................................................................................7适用范围.................................................................................................................................7安全测试在ipd流程中所处的位置.......................................................................................8安全测试与安全风险评估的关系说明..................................................................................8注意事项.................................................................................................................................9测试用例级别说明.................................................................................................................9测试过程示意图...................................................................................................................10web安全测试规范..............................................................................................................11自动化web漏洞扫描工具测试............................................................................................11
3.1.1appscanapplication扫描测试................................................................12
3.1.2appscanwebservice扫描测试...........................................................12
3.2服务器信息收集...................................................................................................................13
3.2.1运行帐号权限测试.....................................................................................13
3.2.2web服务器端口扫描.................................................................................14
3.2.3http方法测试..........................................................................................14
3.2.4httpput方法测试.................................................................................15
3.2.5httpdelete方法测试..........................................................................16
3.2.6httptRace方法测试............................................................................17
3.2.7httpmoVe方法测试..............................................................................17
3.2.8httpcopy方法测试..............................................................................18
3.2.9web服务器版本信息收集.........................................................................18
3.3文件、目录测试.............................................................................................................