没有合适的资源?快使用搜索试试~ 我知道了~
首页Web安全测试规范详解:500强企业实战文档
Web安全测试规范详解:500强企业实战文档
需积分: 9 2 下载量 151 浏览量
更新于2024-07-19
收藏 2.07MB DOC 举报
"Web_security_test_specification" 是一份由500强公司内部发布的IT软件安全测试规范,专为Web应用设计,具有极高的实用性和参考价值。该文档于2009年7月5日正式发布并实施,强调了对版权的保护,并基于《Web应用安全开发规范》进行扩展,充分考虑了Web服务、上传/下载功能、控制台等特定领域的安全测试。 该文档详细介绍了Web应用安全测试的各个阶段和方法,如自动化漏洞扫描工具的使用,包括AppScan的两种测试类型(application扫描和WebService扫描)。对于服务器信息收集,涉及的内容丰富,如检查运行账号权限、端口扫描、不同HTTP方法的测试,以及对敏感操作如PUT、DELETE、TRACE、MOVE和COPY方法的验证。此外,还着重探讨了通过工具和Robots.txt方式进行的文件和目录测试,以确保系统对恶意请求的抵御能力。 在文档的结构上,首先是对测试背景、目标读者、适用范围、测试在产品开发流程中的位置、与安全风险评估的关系及注意事项的概述,确保测试工作的全面性和有效性。接着,通过流程图展示了整个测试过程,清晰地划分了各个环节。 这份规范不仅提供了丰富的测试策略,还包含了实际操作指南,适合IT专业人士在进行Web应用安全测试时参考,旨在帮助组织提升网络安全防护能力,减少潜在的安全风险。无论是初次接触Web安全测试的新手,还是经验丰富的安全专家,都可以从中找到有价值的信息来提升其测试实践。
资源详情
资源推荐
3 Web 安全测试规范
自动化 漏洞扫描工具测试
自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL注入等),不是针对
用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往
最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。
Web目前分为application和Web service两部分。Application指通常意义上的Web应用,
而Web service是一种面向服务的架构的技术,通过标准的Web协议(如
造成的影响
主动
模式
被动模式
初始
化
完成
Web结构获取
权
限
测
试
归
档
测
试
参
数
分
析
异
常
处
理
注
入
测
试
命
令
执
行
文
件
包
含
跨
站
脚
本
信
息
窃
取
备
份
文
件
后
台
查
找
目
录
列
表
会
话
管
理
信息泄漏 数据破坏 拒绝服务
信息获取
熟悉业务逻辑
Google Hacking
接
口
测
试
认
证
测
试
暴
力
破
解
认
证
绕
过
逻
辑
处
理
越
权
操
作
身份仿冒
日
志
检
查
拒
绝
服
务
上
传
下
载
HTTP、XML、SOAP、WSDL)提供服务。
3.1.1 AppScan application 扫描测试
编号
4&55(56
测试用例名称 ..##..#扫描测试
测试目的 利用自动化的安全扫描工具..#进行扫描,以发现应用中存在的常见
漏洞
用例级别
测试条件 、 已知Web服务器域名或!地址
、 业务运行正常
、 测试用机上安装了..#
执行步骤 、 双击运行..#,选择"7新建扫描,选择扫描模板"#
、 弹出扫描配置对话框,选择扫描类型,默认为..##,点击8
、 在#9'(中填入需扫描的目标服务器域名或!地址,其他配置不需修改,
点击8
1、 选择:(,点击8
、 不需修改任何参数,点击8
2、 不需修改参数,选择##"###,点击"完成配置,开始扫
描
3、 扫描完成,保存扫描结果,并对结果进行分析
预期结果 经过对扫描结果分析,确认不存在“中等等级”及以上级别的漏洞。
备注 注意:该用例的执行对被测系统的性能影响比较大,而且可能导致一些垃圾数据,
建议只在测试环境执行。
由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对所有的结
果进行人工的分析判断。分析过程参考以下章节的测试项,使用辅助工具或者是手
动验证。
业 界 常 用 的 自 动 化 扫 描 工 具 还 有 !. , :#; , 8
#$#。在有条件的情况下,可以综合使用。
测试结果
3.1.2 AppScan Web Service 扫描测试
编号
4&55(56
测试用例名称 ..#扫描测试
测试目的 利用自动化的安全扫描工具..#进行扫描,以发现中存在的
漏洞
用例级别
测试条件 、 已知Web服务器域名或!地址
、 业务运行正常
、 目标系统使用了服务
1、 测试用机上安装了..#
执行步骤 、 双击运行..#,选择"7新建扫描,选择扫描模板"#
、 弹出扫描配置对话框,选择扫描类型,默认为#,点击8
、 在#9'(中填入需扫描的目标服务器域名或!地址,其他配置不需修改,
点击8
1、 不需修改任何参数,点击8
、 不需修改任何参数,点击)完成配置,开始扫描
2、 扫描完成,保存扫描结果,并对结果进行分析
预期结果 经过分析确认以后的扫描结果中不存在信息提示以上等级的漏洞。
备注 注意:该用例的执行对被测系统的性能影响比较大,而且可能导致一些垃圾数据,
建议只在测试环境执行。
由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对所有的结
果进行人工的分析判断。
测试结果
服务器信息收集
3.2.1 运行帐号权限测试
编号
4&554'4'!:)56
测试用例名称 运行帐号权限测试
测试目的 运行服务器的操作系统帐号权限越高,那么遭到攻击产生的危害就越大。
因此,不应使用“”、“##”、等特权帐号或高级别权限的操作系统帐号
来运行,应该尽可能地使用低级别权限的操作系统帐号。
用例级别
测试条件 、 已知网站!地址和登陆帐号、密码
执行步骤 、 登陆服务器操作系统
、 查看运行服务器的操作系统帐号,不是“”、“##”等特权帐号
或高级别权限帐号,如果是则存在漏洞。
:打开任务管理器,选择“进程”页,勾选左下方的“显示所有用户
剩余60页未读,继续阅读
xucongguo
- 粉丝: 17
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- WebLogic集群配置与管理实战指南
- AIX5.3上安装Weblogic 9.2详细步骤
- 面向对象编程模拟试题详解与解析
- Flex+FMS2.0中文教程:开发流媒体应用的实践指南
- PID调节深入解析:从入门到精通
- 数字水印技术:保护版权的新防线
- 8位数码管显示24小时制数字电子钟程序设计
- Mhdd免费版详细使用教程:硬盘检测与坏道屏蔽
- 操作系统期末复习指南:进程、线程与系统调用详解
- Cognos8性能优化指南:软件参数与报表设计调优
- Cognos8开发入门:从Transformer到ReportStudio
- Cisco 6509交换机配置全面指南
- C#入门:XML基础教程与实例解析
- Matlab振动分析详解:从单自由度到6自由度模型
- Eclipse JDT中的ASTParser详解与核心类介绍
- Java程序员必备资源网站大全
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功