安全测试方案.docxVIP

文档设计目的

设计概述

本测试主要包括主动模式和被动模式两种。在被动模式中，测试人员尽可能的了解应用逻辑：比如用工具分析所有的HTTP请求及响应，以便测试人员掌握应用程序所有的接入点（包括HTTP头，参数，cookies等）；在主动模式中，测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试，其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统，即被动模式下的测试，然后再开展进一步的分析，即主动模式下的测试。主动测试会与被测目标进行直接的数据交互，而被动测试不需要。

面对的可能威胁

保密性

网络窃听、窃取主机数据、窃取网络配置信息、窃取用户连接信息

完整性

对数据的篡改、特洛伊木马程序

可用性

终止用户进程攻击、带宽攻击、耗尽系统资源攻击、DNS欺骗攻击隔离主机可追究性

伪装合法用户、数据伪造

2软件安全测试方法

安全测试流程设计

信息获取造成完成身份仿冒j信息泄漏数据破坏0 拒绝服务被动模式初始化主动模式上传下载认证测试自动化Web漏洞扫描工具测试自动化扫描工具只能检测到部分常见的漏洞（如跨站脚本、SQL注入等），不是针对用户代码的，也就是说不能理解业务逻辑，无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞，而是通过这些漏洞针对业务逻辑和应用的攻击。Web目前分为application和Webservice两部分。Application指通常意义上的Web应用，而Webservice是一种面向服务的架构的技术，通过标准的Web协议（如HTTP、

信息获取

造成

完成

身份仿冒j

信息泄漏

数据破坏0 拒绝服务

被动模式

初始化

主动模式

上传下载

认证测试

自动化Web漏洞扫描工具测试

自动化扫描工具只能检测到部分常见的漏洞（如跨站脚本、SQL注入等），不是针对用户代码的，也就是说不能理解业务逻辑，无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞，而是通过这些漏洞针对业务逻辑和应用的攻击。

Web目前分为application和Webservice两部分。Application指通常意义上的Web应用，而Webservice是一种面向服务的架构的技术，通过标准的Web协议（如HTTP、XML、SOAP、

归档测试

权限测试

参数分析

会话管理

接

口

测试

备份文件

异常处理

越权操作

暴力破解

认证绕过

目录列表

文件包含

后台查找

注入测试

命令执行

信息窃取

跨站脚本

拒绝服务

逻辑处理

熟悉业务逻辑

Web结构获取

GoogleHacking

日志检查

WSDL）提供服务。

AppScanapplication扫描测试

编号

测试用例名称

AppScanapplication扫描测试

测试目的

利用自动化的Web安全扫描工具AppScan进行扫描，以发现Web应用中存在的常见漏洞

用例级别

1

测试条件

1、已知Web服务器域名或IP地址

2、Web业务运行正常

测试用机上安装了AppScan

执行步骤

双击运行AppScan，选择file—new新建扫描，选择扫描模板default

弹出扫描配置对话框，选择扫描类型，默认为WebApplicationScan，点击next

在StartingURL中填入需扫描的目标服务器域名或IP地址，其他配置不需修改，点击next

选择NoLogin，点击next

不需修改任何参数，点击next

不需修改参数，选择Startafullautomaticscan，点击finish完成配置，开始扫描

扫描完成，保存扫描结果，并对结果进行分析

预期结果

经过对扫描结果分析，确认不存在“中等等级”及以上级别的漏洞。

备注

注意：该用例的执行对被测系统的性能影响比较大，而且可能导致一些垃圾数据，建议只在测试环境执行。

由于自动化工具在很多情况下只是提示一种漏洞存在的可能，因此需要对所有的结果进行人工的分析判断。分析过程参考以下章节的测试项，使用辅助工具或者是手动验证。

业界常用的自动化扫描工具还有WebInspcet，NStalker，AcunetixWebVulnerabilityScanner。在有条件的情况下，可以综合使用。

测试结果

AppScanWebService扫描测试

编号

测试用例名称

AppScanWebService扫描测试

测试目的

利用自动化的Web安全扫描工具AppScan进行扫描，以发现WebService中存在的漏洞

用例级别

1