DKBA 华为技术有限公司内部技术规范
DKBA 2355-2009.7 Web应用安全测试规范V1.4
2009年7月5日发布2009年7月5日实施
华为技术有限公司
Huawei Technologies Co., Ltd.
版权所有侵权必究
All rights reserved
修订声明Revision declaration
本规范拟制与解释部门:
安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部
本规范的相关系列规范或文件:
《Web应用安全开发规范》
相关国际规范或文件一致性:
《OWASP Testing Guide v3》
《信息安全技术信息安全风险评估指南》
《Information technology Security techniques Management of information and communications technology security》-ISO 13335
替代或作废的其它规范或文件:
相关规范或文件的相互关系:
本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。
目录Table of Contents
1概述 .......................................................................................................... 错误!未定义书签。
1.1背景简介 .................................................................................................. 错误!未定义书签。
1.2适用读者 .................................................................................................. 错误!未定义书签。
1.3适用范围 .................................................................................................. 错误!未定义书签。
1.4安全测试在IPD流程中所处的位置........................................................ 错误!未定义书签。
1.5安全测试与安全风险评估的关系说明................................................... 错误!未定义书签。
1.6注意事项 .................................................................................................. 错误!未定义书签。
1.7测试用例级别说明 .................................................................................. 错误!未定义书签。2测试过程示意图 ...................................................................................... 错误!未定义书签。3WEB安全测试规范 ................................................................................. 错误!未定义书签。
3.1自动化W EB漏洞扫描工具测试............................................................... 错误!未定义书签。
3.1.1AppScan application扫描测试 ...................................错误!未定义书签。
3.1.2AppScan Web Service 扫描测试..............................错误!未定义书签。
3.2服务器信息收集 ...................................................................................... 错误!未定义书签。
3.2.1运行帐号权限测试........................................................错误!未定义书签。
3.2.2Web服务器端口扫描....................................................错误!未定义书签。
3.2.3HTTP方法测试 .............................................................错误!未定义书签。
3.2.4HTTP PUT方法测试 ....................................................错误!未定义书签。
3.2.5HTTP DELETE方法测试.............................................错误!未定义书签。
3.2.6HTTP TRACE方法测试...............................................错误!未定义书签。
3.2.7HTTP MOVE方法测试.................................................错误!未定义书签。
3.2.8HTTP COPY方法测试.................................................错误!未定义书签。
3.2.9Web服务器版本信息收集............................................错误!未定义书签。
3.3文件、目录测试 ...................................................................................... 错误!未定义书签。
3.3.1工具方式的敏感接口遍历............................................错误!未定义书签。
3.3.2Robots方式的敏感接口查 .......................................错误!未定义书签。
3.3.3Web服务器的控制台....................................................错误!未定义书签。
3.3.4目录列表测试................................................................错误!未定义书签。
3.3.5文件归档测试................................................................错误!未定义书签。
3.4认证测试 .................................................................................................. 错误!未定义书签。
3.4.1验证码测试....................................................................错误!未定义书签。
3.4.2认证错误提示................................................................错误!未定义书签。
3.4.3锁定策略测试................................................................错误!未定义书签。
3.4.4认证绕过测试................................................................错误!未定义书签。
3.4.5回密码测试................................................................错误!未定义书签。
3.4.6修改密码测试................................................................错误!未定义书签。
3.4.7不安全的数据传输........................................................错误!未定义书签。
3.4.8强口令策略测试............................................................错误!未定义书签。
web标准有哪三大部分3.5会话管理测试 .......................................................................................... 错误!未定义书签。
3.5.1身份信息维护方式测试................................................错误!未定义书签。
3.5.2Cookie存储方式测试 ...................................................错误!未定义书签。
3.5.3用户注销登陆的方式测试............................................错误!未定义书签。
3.5.4注销时会话信息是否清除测试....................................错误!未定义书签。
3.5.5会话超时时间测试........................................................错误!未定义书签。
3.5.6会话定置测试................................................................错误!未定义书签。
3.5.7会话标识携带................................................................错误!未定义书签。
3.5.8会话标识随机性测试....................................................错误!未定义书签。
3.6权限管理测试 .......................................................................................... 错误!未定义书签。
3.6.1横向测试........................................................................错误!未定义书签。
3.6.2纵向测试........................................................................错误!未定义书签。
3.6.3跨站伪造请求测试........................................................错误!未定义书签。
3.7文件上传下载测试 .................................................................................. 错误!未定义书签。
3.7.1文件上传测试................................................................错误!未定义书签。
3.7.2文件下载测试................................................................错误!未定义书签。
3.8信息泄漏测试 .......................................................................................... 错误!未定义书签。
3.8.1连接数据库的帐号密码加密测试................................错误!未定义书签。
3.8.2客户端源代码敏感信息测试........................................错误!未定义书签。
3.8.3客户端源代码注释测试................................................错误!未定义书签。