Web应用安全测试方案.docxVIP

... . . . word word 可编辑 Web 安全测试技术方案 测试的目标 更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件 更好的为今后系统建设提供指导和有价值的意见及建议 测试的范围 本期测试服务范围包含如下各个系统： Web 系统： 测试的内容 WEB 应用 针对网站及 WEB 系统的安全测试，我们将进行以下方面的测试： Web 服务器安全漏洞 Web 服务器错误配置 SQL 注 入 XSS（跨站脚本） CRLF 注 入 目录遍历 文件包含 输入验证 认证 逻辑错误 Google Hacking 密码保护区域猜测 字典攻击 特定的错误页面检测 脆弱权限的目录 危险的 HTTP 方法（如：PUT、DELETE） 测试的流程 方案制定部分： 获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具 体的方案与客户进行交流，并得到客户的认同。 在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。 信息收集部分： 这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采 用商业和开源的检测工具（AWVS、burpsuite、Nmap 等）进行收集。 测试实施部分： 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测