网站安全性测试体系.docxVIP

网站安全性测试体系 目 录 TOC \o 1-5 \h \z \o Current Document 1文档概述 2 \o Current Document 1.1文档目的 2 \o Current Document 1.2文档范围 2 \o Current Document 1.3读者对象 2 \o Current Document 1.4历史记录 3 \o Current Document 安全测试检查点 3 \o Current Document 2.1网页安全检查点 3 2.1.1输入的数据没有进行有效的控制和验证 3 2.1.2用户名和密码 3 2.1.3直接输入需要权限的网页地址可以访问 4 2.1.4上传文件没有限制 4 2.1.5不安全的存储 4 2.1.6操作时间的失效性 5 2.1.7日志完整性 5 \o Current Document 2.2系统服务器安全检查点 5 \o Current Document 2.3数据库安全检查点 6 \o Current Document 2.3支付宝接口检查点 6 \o Current Document 网页安全测试工具 7 \o Current Document IBM AppSca n 7 \o Current Document HttpWatch 7 \o Current Document Acunetix Web Vulnerability 7 \o Current Document 信息安全入侵测试 9 \o Current Document 4.1上传漏洞 9 \o Current Document 4.2暴库 9 \o Current Document 4.3注入漏洞 9 \o Current Document 4.4旁注 11 \o Current Document 4.5COOKIE 诈骗 11 \o Current Document 测试用例模板 11 1文档概述 1.1文档目的 根据莱尔巴蒂电子商务网站的安全需求， 对网站进行安全测评，测试内容涉及服 务器主机安全、应用安全和数据安全，以及网站的重要安全隐患，如跨站脚本攻 击、SQL注入、信息泄露、不安全的配置管理、支付方面、用户信息方面、商品 管理方面等。 1.2文档范围 包括首页网页安全检查点、数据库安全检查点、系统安全检查点、接口安全 测试等几方面展开 1.3读者对象 公司内部测试，研发成员及管理层及第三方顾问 1.4历史记录 修订历史记录 版本 日期 AMD 修订者 说明 2.0 2010-7-5 无 陈春游 无 （A-添加，M-修改，D-删除） 安全测试检查点 2.1网页安全检查点 输入的数据没有进行有效的控制和验证 1） 数据类型（字符串，整型，实数，等） 2） 允许的字符集 3） 最小和最大的长度 4） 是否允许空输入 5） 参数是否是必须的 6） 重复是否允许 7） 数值范围 8） 特定的值（枚举型） 9） 特定的模式（正则表达式） （注：建议尽量采用白名单） 用户名和密码 1） 检测接口程序连接登录时，是否需要输入相应的用户 2） 是否设置密码最小长度（密码强度） 3） 用户名和密码中是否可以有空格或回车？ 4） 是否允许密码和用户名一致 5） 防恶意注册：可否用自动填表工具自动注册用户？ （傲游等） 6） 遗忘密码处理 7） 有无缺省的超级用户？（ admin等，关键字需屏蔽） 有无超级密码 ? 是否有校验码？ 密码错误次数有无限制？ 大小写敏感？ 口令不允许以明码显示在输出设备上 强制修改的时间间隔限制(初始默认密码) 口令的唯一性限制(看需求是否需要) 口令过期失效后，是否可以不登陆而直接浏览某个页面 哪些页面或者文件需要登录后才能访问 /下载 cookie 中或隐藏变量中是否含有用户名、密码、 userid 等关键信息 直接输入需要权限的网页地址可以访问 避免研发只是简单的在客户端不显示权限高的功能项 举例 Bug： 没有登录或注销登录后，直接输入登录后才能查看的页面的网址(含跳转页面) 能直接打开页面； 注销后，点浏览器上的后退，可以进行操作。 正常登录后，直接输入自己没有权限查看的页面的网址，可以打开页面。 通过 Http 抓包的方式获取 Http 请求信息包经改装后重新发送 从权限低的页面可以退回到高的页面 (如发送消息后， 浏览器后退到信息填写页面， 这就是错误的) 2.1.4 上传文件没有限制 上传文件还要有大小的限制。 上传木马病毒等(往往与权限一起验证) 上传文件最好要有格式的限制； 2.1.5 不安全的存储 在页面输入密码，页面应显示 “