Web安全测试规范_V1.1.doc

Web应用安全测试规范V1.1 2012年5月30日编制 修订声明Revision declaration 本规范拟制与解释部门： 信息安全组、测试组 本规范的相关系列规范或文件： 《Web应用安全开发规范》 相关国际规范或文件一致性： 《OWASP Testing Guide v3》 《ISO/IEC 27001/27002》 《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件： 无 相关规范或文件的相互关系： 本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 主要起草人员 主要评审人员 修订情况 V1.0 陈磊 V1.1 陈磊 目 录 Table of Contents 1 概述 7 1.1 背景简介 7 1.2 适用读者 7 1.3 适用范围 7 1.4 安全测试在IPD流程中所处的位置 8 1.5 安全测试与安全风险评估的关系说明 8 1.6 注意事项 9 1.7 测试用例级别说明 9 2 测试过程示意图 10 3 Web安全测试规范 11 3.1 自动化Web漏洞扫描工具测试 11 3.1.1 AppScan application扫描测试 12 3.1.2 AppScan Web Service 扫描测试 13 3.2 服务器信息收集 13 3.2.1 运行帐号权限测试 13 3.2.2 Web服务器端口扫描 14 3.2.3 HTTP方法测试 14 3.2.4 HTTP PUT方法测试 15 3.2.5 HTTP DELETE方法测试 16 3.2.6 HTTP TRACE方法测试 17 3.2.7 HTTP MOVE方法测试 17 3.2.8 HTTP COPY方法测试 18 3.2.9 Web服务器版本信息收集 19 3.3 文件、目录测试 20 3.3.1 工具方式的敏感接口遍历 20 3.3.2 Robots方式的敏感接口查找 22 3.3.3 Web服务器的控制台 23 3.3.4 目录列表测试 24 3.3.5 文件归档测试 27 3.4 认证测试 28 3.4.1 验证码测试 28 3.4.2 认证错误提示 29 3.4.3 锁定策略测试 29 3.4.4 认证绕过测试 30 3.4.5 找回密码测试 31 3.4.6 修改密码测试 31 3.4.7 不安全的数据传输 32 3.4.8 强口令策略测试 33 3.5 会话管理测试 35 3.5.1 身份信息维护方式测试 35 3.5.2 Cookie存储方式测试 35 3.5.3 用户注销登陆的方式测试 36 3.5.4 注销时会话信息是否清除测试 36 3.5.5 会话超时时间测试 37 3.5.6 会话定置测试 38 3.6 权限管理测试 39 3.6.1 横向测试 40 3.6.2 纵向测试 41 3.7 文件上传下载测试 46 3.7.1 文件上传测试 46 3.7.2 文件下载测试 47 3.8 信息泄漏测试 48 3.8.1 连接数据库的帐号密码加密测试 48 3.8.2 客户端源代码敏感信息测试 49 3.8.3 客户端源代码注释测试 49 3.8.4 异常处理 50 3.8.5 HappyAxis.jsp页面测试 51 3.8.6 Web服务器状态信息测试 52 3.8.7 不安全的存储 53 3.9 输入数据测试 53 3.9.1 SQL注入测试 53 3.9.2 MML语法注入 55 3.9.3 命令执行测试 56 3.10 跨站脚本攻击测试 56 3.10.1 GET方式跨站脚本测试 56 3.10.2 POST方式跨站脚本测试 57 3.11 逻辑测试 58 3.12 搜索引擎信息收集 59 3.13 Web Service测试 59 3.14 其他 62 3.14.1 class文件反编译测试 62 4 AppScan测试覆盖项说明 63 5 附件 64 5.1 本规范所涉及的测试工具 64 Web安全测试规范 缩略语清单 缩略语 全称 CRLF \r\n回车换行 LDAP Lightweight?Directory?Access?Protocol 轻量级目录访问协议 MML man-machine language 人机交互语言 SessionID 标志会话的ID Web Service Web服务是一种面向服务的架构的技术，通过标准的Web协议提供服务，目的是保证不同平台的应用服务可以