Web应用安全测试方案.docxVIP

Web应用安全测试方案 1Web平安测试技术方案1.1测试的目的●更好的发觉当前系统存在的可能的平安隐患，避开发生危害性的平安大事●更好的为今后系统建立供应指导和有价值的看法及建议1.2测试的范围本期测试效劳范围包含如下各个系统：●Web系统：1.3测试的内容1.3.1WEB应用针对网站及WEB系统的平安测试，我们将进展以下方面的测试：?Web 效劳器平安破绽?Web 效劳器错误配置?SQL 注入?XSS〔跨站脚本〕?CRLF 注入?名目遍历?文件包含?输入验证?认证?规律错误?Google Hacking?密码爱护区域猜想?字典攻击?特定的错误页面检测?脆弱权限的名目?危急的 HTTP 方法〔如：PUT、DELETE〕1.4测试的流程方案制定局部：猎取到客户的书面受权答应后，才进展平安测试的施行。并且将施行范围、方法、时间、人员等详细的方案与客户进展沟通，并得到客户的认同。在测试施行之前，让客户对平安测试过程和风险知晓，使随后的正式测试流程都在客户的掌握下。信息搜集局部：这包括：操作系统类型指纹搜集；网络拓扑构造分析；端口扫描和目的系统供应的效劳识别等。采纳商业和开源的检测工具〔AWVS、burpsuite、Nmap等〕进展搜集。测试施行局部：在躲避防火墙、入侵检测、防毒软件等平安产品监控的条件下进展：操作系统可检测到的破绽测试、应用系统检测到的破绽测试〔如：Web应用〕，此阶段假如胜利的话，可能获得一般权限。平安测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺当完成工程。在猎取到一般权限后，尝试由一般权限提升为管理员权限，获得对系统的完全掌握权。此过程将循环进展，直到测试完成。最终由平安测试人员去除中间数据。分析报告输出：平安测试人员依据测试的过程结果编写直观的平安测试效劳报告。内容包括：详细的操作步骤描绘；响应分析以及最终的平安修复建议。下列图是更为具体的步骤拆分示意图：1.5测试的手段依据平安测试的实际需求，实行自动化测试与人工检测与审核相结合的方式，大大的削减了自动化测试过程中的误报问题。1.5.1常用工具列表●自动化扫描工具：AWVS、OWASP ZAP、Burpsuite等●端口扫描、效劳检测：Nmap、THC-Amap等●密码、口令破解：Johntheripper、HASHCAT、Cain等●破绽利用工具：MetasploitFramework等●应用缺陷分析工具：Burpsuite、Sqlmap等1.6测试的风险躲避在平安测试过程中，虽然我们会尽量避开做影响正常业务运行的操作，也会施行风险躲避的计谋，但是由于测试过程改变多端，平安测试效劳仍旧有可能对网络、系统运行造成肯定不同程度的影响，严峻的后果是可能造成效劳停顿，甚至是宕机。比方浸透人员施行系统权限提升操作时，突遇系统停电，再次重启时可能会出现系统无法启动的故障等。因此，我们会在平安测试前与客户具体争论浸透方案，并实行如下多条策略来躲避平安测试带来的风险：1.6.1需要客户躲避的风险备份策略为防范平安测试过程中的异样问题，测试的目的系统需要事先做一个完好的数据备份，以便在问题发生后能准时复原工作。对银行转帐、电信计费、电力调度等不行承受可能风险的系统的测试，可以实行对目的副本进展浸透的方式加以施行。这样就需要完好的复制目的系统的环境：硬件平台、操作系统、应用效劳、程序软件、业务访问等；然后对该副本再进展平安测试。应急策略测试过程中，假如目的系统出现无响应、中断或者崩溃等状况，我们会马上中止平安测试，并协作客户技术人员进展修复处理等。在确认问题、修复系统、防范此故障再重演后，经客户方同意才能连续进展其余的测试。