web应用安全测试规范,doc

web 应用安全测试规范,doc篇一：Web 安全测试规范DKBA 华为技术有限公司内部技术规范 DKBA Web 应用安全测试规范 XX 年 7 月 5 日发布 XX 年 7 月 5 日实施 华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有 侵权必究 All rights reserved修订声明 Revision declaration本规范拟制与解释部门： 安全解决方案部电信网络与业务安全实验室、软件公司安全 TMG、软件公司测试业务管理部 本规范的相关系列规范或文件： Web 应用安全开发规范 相关国际规范或文件一致性： OWASP Testing Guide v3 信息安全技术信息安全风险评估指南 Information technology Security techniques Management of information and communications technology securityISO 13335 替代或作废的其它规范或文件： 无 相关规范或文件的相互关系： 本规范以Web 应用安全开发规范为基础、结合Web 应用的特点而制定。 目 录 Table of Contents 1 2 3 概述 . 9 背景简介 . 9 适用读者 . 9 适用范围 . 9 安全测试在 IPD 流程中所处的位置 .10 安全测试与安全风险评估的关系说明 . 10 注意事项 . 11 测试用例级别说明 . 11 测试过程示意图 . 12 WEB 安全测试规范 .13 自动化 WEB 漏洞扫描工具测试 . 13 AppScan application 扫描测试 . 14 AppScan Web Service 扫描测试 .15 服务器信息收集 . 15 运行帐号权限测试 .15 Web 服务器端口扫描 .16 HTTP 方法测试 . 16 HTTP PUT 方法测试 .17 HTTP DELETE 方法测试 . 18 HTTP TRACE 方法测试 . 19 HTTP MOVE 方法测试 . 20 HTTP COPY 方法测试 . 20 Web 服务器版本信息收集 .21 文件、目录测试 . 22 工具方式的敏感接口遍历 .22 Robots 方式的敏感接口查找 . 24 Web 服务器的控制台 .25目录列表测试 .27 文件归档测试 .29 认证测试 . 30 验证码测试 .30 认证错误提示 .31 锁定策略测试 .32 认证绕过测试 .33 找回密码测试 .33 修改密码测试 .34 不安全的数据传输 .35 强口令策略测试 .36 会话管理测试 . 37 身份信息维护方式测试 .37 Cookie 存储方式测试 . 38 用户注销登陆的方式测试 .38 注销时会话信息是否清除测试 .39 会话超时时间测试 .40 会话定置测试 .40 会话标识携带 .41 会话标识随机性测试 .42 权限管理测试 . 46 横向测试 .47 纵向测试 .49 跨站伪造请求测试 .54 文件上传下载测试 . 56 文件上传测试 .56 文件下载测试 .57 篇二：Web 安全测试规范_DKBA 华为技术有限公司内部技术规范 DKBA Web 应用安全测试规范 XX 年 7 月 5 日发布 XX 年 7 月 5 日实施 华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有 侵权必究 All rights reserved修订声明 Revision declaration本规范拟制与解释部门： 安全解决方案部电信网络与业务安全实验室、软件公司安全 TMG、软件公司测试业务管理部 本规范的相关系列规范或文件： Web 应用安全开发规范 相关国际规范或文件一致性： OWASP Testing Guide v3 信息安全技术信息安全风险评估指南 Information technology Security techniques Management of information and communications technology securityISO 13335 替代或作废的其它规范或文件： 无 相关规范或文件的相互关系： 本规范以Web 应用安全开发规范为基础、结合Web 应用的特点而制定。 目 录 Table of Contents1 2 3 概述 . 7 背景简介 . 7 适用读者 . 7 适用范围 . 7 安全测试在 IPD 流程中所处的位置 .8 安全测试与安全风险评估的关系说明 . 8 注意事项 . 9 测试用例级别说明 . 9 测试过程示意图 . 10 WEB 安全测试规范 .11 自动化 WEB 漏洞扫描工具测试.11 AppScan application 扫描测试 . 12 AppScan Web Service 扫描测试 .13 服务器信息收集 . 13 运行帐号权限测试 .13 Web 服务器端口扫描 .14 HTTP 方法测试 . 14 HTTP PUT 方法测试 .15 HTTP DELETE 方法测试 . 16 HTTP TRACE 方法测试 . 17 HTTP MOVE 方法测试.17 HTTP COPY 方法测试 . 18 Web 服务器版本信息收集 .19 文件、目录测试 . 20 工具方式的敏感接口遍历 .20 Robots 方式的敏感接口查找 . 22 Web 服务器的控制台 .23目录列表测试 .24 文件归档测试 .26 认证测试 . 27 验证码测试 .27 认证错误提示 .28 锁定策略测试 .29 认证绕过测试 .30 找回密码测试 .30 修改密码测试 .31 不安全的数据传输 .31 强口令策略测试 .33 会话管理测试 . 34 身份信息维护方式测试 .34 Cookie 存储方式测试 . 34 用户注销登陆的方式测试 .35 注销时会话信息是否清除测试 .36 会话超时时间测试 .36 会话定置测试 .37 权限管理测试 . 38 横向测试 .39 纵向测试 .40 文件上传下载测试 . 45 文件上传测试 .45 文件下载测试 .46 信息泄漏测试 . 48 连接数据库的帐号密码加密测试 .48 客户端源代码敏感信息测试 .48 客户端源代码注释测试 .49 异常处理 .49页面测试.51 Web 服务器状态信息测试 .52 不安全的存储 .52 输入数据测试 . 52 SQL 注入测试 .53 MML 语法注入 . 54 命令执行测试 .55 跨站脚本攻击测试 . 56 GET 方式跨站脚本测试 .56 POST 方式跨站脚本测试 . 57 逻辑测试 . 58 搜索引擎信息收集 . 58 WEB SERVICE 测试 .58 其他 . 61 class 文件反编译测试 . 61 4 5 APPSCAN 测试覆盖项说明 . 62 附件 . 63 本规范所涉及的测试工具 .63 篇三：Web 应用安全测试规范/retype/zoom/34b98341bcd126fff7050b9c?pn=2&x=0&y=0&raww=635&rawh=217&o=jpg_6_0_&type=pic&aimh=&md5sum=170a1d8407d55241dd918d8e6e19b851&sign=4772e39566&zoom=&png=4242-9379&jpg=0-16659“ target=“_blank“点此查看目 录 Table of Contents 1 2 3 概述 . 7 背景简介 . 7 适用读者 . 7 适用范围 . 7 安全测试在 IPD 流程中所处的位置 .8 安全测试与安全风险评估的关系说明 . 8 注意事项 . 9 测试用例级别说明 . 9 测试过程示意图 . 10 WEB 安全测试规范 .11 自动化 WEB 漏洞扫描工具测试.11 AppScan application 扫描测试 . 12 AppScan Web Service 扫描测试 .13 服务器信息收集 . 13 运行帐号权限测试 .13 Web 服务器端口扫描 .14 HTTP 方法测试 . 14 HTTP PUT 方法测试 .15 HTTP DELETE 方法测试 . 16 HTTP TRACE 方法测试 . 17 HTTP MOVE 方法测试.17 HTTP COPY 方法测试 . 18 Web 服务器版本信息收集 .19 文件、目录测试 . 20 工具方式的敏感接口遍历 .20 Robots 方式的敏感接口查找 . 22 Web 服务器的控制台 .23目录列表测试 .24 文件归档测试 .26 认证测试 . 27 验证码测试 .27 认证错误提示 .28 锁定策略测试 .29 认证绕过测试 .30 找回密码测试 .30 修改密码测试 .31 不安全的数据传输 .32 强口令策略测试 .33 会话管理测试 . 34 身份信息维护方式测试 .34 Cookie 存储方式测试 . 35 用户注销登陆的方式测试 .35 注销时会话