华为内部Web应用安全测试规范

"华为内部资料，包括华为技术有限公司的DKBA2355-2009.7Web应用安全测试规范V1.2，由安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部共同制定。这份规范旨在指导Web应用的安全测试，参考了OWASP Testing Guide v3等相关国际标准，并与《Web应用安全开发规范》相结合。" 华为的Web应用安全测试规范V1.2版主要涵盖以下几个关键知识点： 1. 修订声明：该规范由多个部门的专家参与起草和评审，如安全解决方案部、业务与软件测试部等，确保了规范的专业性和权威性。自V1.1到V1.2，增加了Web Service、上传、下载和控制台等方面的测试规范，并修正了之前版本的一些描述不准确的测试项。 2. 背景简介：这份规范的出台是为了应对Web应用日益增长的安全需求，为华为的IPD（Integrated Product Development）流程中的安全测试提供了指导，确保产品在开发过程中的安全性。 3. 适用范围：适用于所有使用Web技术开发的应用，包括但不限于企业内部系统、对外服务的网站以及面向客户的产品。 4. 安全测试在IPD流程中的位置：安全测试是IPD流程中的重要环节，确保在产品设计和开发阶段就考虑到安全因素，以降低后期的安全风险。 5. 安全测试与安全风险评估的关系：两者相辅相成，安全测试是风险评估的实践环节，通过测试发现潜在的安全问题，以便进行有效的风险控制。 6. 注意事项：规范中可能包含了对测试人员的指导，如如何正确执行测试用例，以及在测试过程中应注意的安全事项，以避免因操作不当引发新的安全问题。 7. 测试用例级别：测试用例可能按照严重性、复杂性和实施难易程度划分不同的级别，确保测试覆盖全面且有针对性。 8. 内容结构：规范的目录显示，其内容可能包括测试概述、背景介绍、适用范围、在IPD流程中的角色、与风险评估的关系、测试注意事项、测试用例级别的说明，以及具体的测试方法和步骤等。 9. 测试内容：具体测试内容可能涉及Web应用的基础安全测试，如输入验证、身份认证、授权、session管理、SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、文件包含漏洞、上传漏洞、下载安全、Web Service安全以及控制台安全等。 通过这份规范，华为旨在建立一套完整的Web应用安全测试体系，确保其开发的产品能够抵御各种网络安全威胁，保障用户的数据安全和隐私。同时，这些测试方法和策略对于其他企业和开发者来说，也具有很高的参考价值。