当前位置：文档库 › Web应用安全测试方案

Web应用安全测试方案

1 Web 安全测试技术方案

1.1测试的目标

更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件

更好的为今后系统建设提供指导和有价值的意见及建议

1.2测试的范围

本期测试服务范围包含如下各个系统：

Web 系统：

1.3测试的内容

1.3.1WEB 应用

针对网站及WEB 系统的安全测试，我们将进行以下方面的测试：

Web 服务器安全漏洞

Web 服务器错误配置

SQL 注入

RSS （跨站脚本）

CRLF 注入

目录遍历

文件包含

输入验证

认证逻辑错误

GoogleHacAing 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP

方法（如：PUT、DELETE）

1.4测试的流程

方案制定部分：获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。

在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。

信息收集部分：这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具（AWVS 、burpsuite 、Nmap 等）进行收集。

测试实施部分：在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web 应用），此阶段如果成功的话，可能获得普通权限。

安全测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普

通权限提升为管理员权限，获得对系统的完全控制权。此过程将循环进行，直到测试完成。

最后由安全测试人员清除中间数据

分析报告输出

安全测试人员根据测试的过程结果编写

1.5测试的手段

根据安全测试的实际需求，采取自动化测试与人工检测与审核相结合的方式，大大的减少了自动化测试过程中的误报问题。

1.5.1 常用工具列表

自动化扫描工具：AWVS 、OWASPZAP 、Burpsuite 等

端口扫描、服务检测：Nmap 、THC-Amap 等

密码、口令破解：Johntheripper 、HASHCAT 、Cain 等

漏洞利用工具：MetasploitFrameworA 等

应用缺陷分析工具：Burpsuite 、Sqlmap 等

1.6测试的风险规避

在安全测试过程中，虽然我们会尽量避免做影响正常业务运行的操作，也会实施风险规避的计策，但是由于测试过程变化多端，安全测试服务仍然有可能对网络、系统运行造成一定不同程度的影响，严重的后果是可能造成服务停止，甚至是宕机。比如渗透人员实施系统权限提升操作时，突遇系统停电，再次重启时可能会出现系统无法启动的故障等。

因此，我们会在安全测试前与客户详细讨论渗透方案，并采取如下多条策略来规避安全测试带来的风作步骤描述；响应分析以及最后的安全勺

HTTP 方怎戦图是更为详细的步骤拆分示意

敏恐丈瞅目录瞰舟戸:人证畑；上訂觀痕阻LS 人畑粘则苴

購讪丽￡击丄加舸

审加；则荒

险：

1.6.1需要客户规避的风险

1.6.1.1备份策略

为防范安全测试过程中的异常问题，测试的目标系统需要事先做一个完整的数据备份，以便在问题发生后能及时恢复工作。

对银行转帐、电信计费、电力调度等不可接受可能风险的系统的测试，可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境：硬件平台、操作系统、应用服务、程序软件、业务访问等；然后对该副本再进行安全测试。

1.6.1.2应急策略

测试过程中，如果目标系统出现无响应、中断或者崩溃等情况，我们会立即中止安全测试，并配合客户技术人员进行修复处理等。在确认问题、修复系统、防范此故障再重演后，经客户方同意才能继续进行其余的测试。

web安全考试

web安全测试

————————————————————————————————作者：————————————————————————————————日期：

Web安全测试——手工安全测试方法及修改建议发表于：2017-7-17 11:47 作者：liqingxin 来源：51Testing软件测试网采编字体：大中小 | 上一篇 | 下一篇 | 打印 |我要投稿 | 推荐标签：软件测试工具XSS安全测试工具常见问题 1.XSS(CrossSite Script)跨站脚本攻击 XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行，从而达到恶意用户的特殊目的。测试方法：在数据输入界面，添加记录输入：，添加成功如果弹出对话框，表明此处存在一个XSS 漏洞。或把url请求中参数改为，如果页面弹出对话框，表明此处存在一个XSS 漏洞修改建议：过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验（如通过正则表达式等）。 Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤 2.CSRF与跨站脚本(XSS) CSRF与跨站脚本(XSS)，是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动。

WEB软件测试总结报告

XXX项目测试总结报告目录 1.项目测试结果 (2) 1.1 BUG严重程度 (2) 1.2 BUG问题分布状况 (3) 2.测试结论 (4) 2.1界面测试 (4) 2.2功能测试 (4) 2.3兼容性测试(Windows下) (4) 2.4易用性 (4) 2.5 负载/压力测试 (5) 3.软件问题总结与分析 (6) 4.建议 (7)

1.项目测试结果 1.1 BUG严重程度测试发现的bug主要集中在次要功能和轻微，属于一般性的缺陷，但测试的时候出现了37个主逻辑级别的bug,以及严重级别的2个.

1.2 BUG问题分布状况由上图可以看出，主要为代码错误占36%,以及标准规范的问题占35%,界面优化占17%,设计缺陷占9%,其他占2%

2.测试结论 2.1界面测试网站系统实现与设计稿一致。站点的导航条位置，导航的内容布局，首页呈现的样式与需求一致。网站的界面符合标准和规范，直观性强。 2.2功能测试分不同账号总权限账号,以及店长账号分别进行功能测试。 1:链接测试无问题,不存在死链接,测试链接都存在. 2:对页面各个不同数据的测试,主要的出入库,销售报表,订单查看管理等一一对应,不存在数据有误差的问题. 2.3兼容性测试(Wind ows下) 测试总的浏览器包括:360极速浏览器,火狐浏览器,谷歌浏览器,IE浏览器,测试通过,主要逻辑以及次要功能都没问题,因为浏览器的不同,导致界面浏览不一定相同,例如有的界面浏览页面显示正常,有的界面显示不一样。 2.4易用性网站实现了如下易用性： 1. 输入限制的正确性 2. 输入限制提示信息的正确性，可理解性，一致性 3. 界面排版美观 4. web应用系统易于导航，直观 5. web应用系统的页面结构、导航、菜单、连接的风格一致

Web安全测试规范

修订声明Revision declaration 本规范拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件：《Web应用安全开发规范》相关国际规范或文件一致性：《OWASP Testing Guide v3》《信息安全技术信息安全风险评估指南》《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：无相关规范或文件的相互关系：本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。

目录Table of Contents 1概述错误!未定义书签。背景简介错误!未定义书签。适用读者错误!未定义书签。适用范围错误!未定义书签。安全测试在IPD流程中所处的位置错误!未定义书签。安全测试与安全风险评估的关系说明错误!未定义书签。注意事项错误!未定义书签。测试用例级别说明错误!未定义书签。 2测试过程示意图错误!未定义书签。 3Web安全测试规范错误!未定义书签。自动化Web漏洞扫描工具测试错误!未定义书签。 AppScan application扫描测试错误!未定义书签。 AppScan Web Service 扫描测试错误!未定义书签。服务器信息收集错误!未定义书签。运行帐号权限测试错误!未定义书签。 Web服务器端口扫描错误!未定义书签。 HTTP方法测试错误!未定义书签。 HTTP PUT方法测试错误!未定义书签。 HTTP DELETE方法测试错误!未定义书签。 HTTP TRACE方法测试错误!未定义书签。 HTTP MOVE方法测试错误!未定义书签。 HTTP COPY方法测试错误!未定义书签。 Web服务器版本信息收集错误!未定义书签。文件、目录测试错误!未定义书签。工具方式的敏感接口遍历错误!未定义书签。 Robots方式的敏感接口查找错误!未定义书签。 Web服务器的控制台错误!未定义书签。目录列表测试错误!未定义书签。文件归档测试错误!未定义书签。认证测试错误!未定义书签。验证码测试错误!未定义书签。认证错误提示错误!未定义书签。锁定策略测试错误!未定义书签。认证绕过测试错误!未定义书签。找回密码测试错误!未定义书签。修改密码测试错误!未定义书签。不安全的数据传输错误!未定义书签。强口令策略测试错误!未定义书签。会话管理测试错误!未定义书签。身份信息维护方式测试错误!未定义书签。 Cookie存储方式测试错误!未定义书签。用户注销登陆的方式测试错误!未定义书签。注销时会话信息是否清除测试错误!未定义书签。会话超时时间测试错误!未定义书签。

web常用测试方法

一、输入框 1、字符型输入框：（1）字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符“~！@#￥%……&*？[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入。（2）长度检查：最小长度、最大长度、最小长度-1、最大长度+1、输入超工字符比如把整个文章拷贝过去。（3）空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格（4）多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示）、（5）安全性检查：输入特殊字符串（null,NULL, ,javascript,,,<html>,<td>）、输入脚本函数(<script>alert("abc")</script>)、doucment.write("abc")、<b>hello</b>） 2、数值型输入框：（1）边界值：最大值、最小值、最大值+1、最小值-1 （2）位数：最小位数、最大位数、最小位数-1最大位数+1、输入超长值、输入整数（3）异常值、特殊字符：输入空白（NULL）、空格或 "~!@#$%^&*()_+{}|[]\:"<>?;',./?;:'-=等可能导致系统错误的字符、禁止直接输入特殊字符时，尝试使用粘贴拷贝查看是否能正常提交、word中的特殊功能，通过剪贴板拷贝到输入框，分页符，分节符类似公式的上下标等、数值的特殊符号如∑，㏒，㏑，∏，+，-等、输入负整数、负小数、分数、输入字母或汉字、小数（小数前0点舍去的情况，多个小数点的情况）、首位为0的数字如01、02、科学计数法是否支持1.0E2、全角数字与半角数字、数字与字母混合、16进制，8进制数值、货币型输入（允许小数点后面几位）、（4）安全性检查：不能直接输入就copy 3、日期型输入框：（1）合法性检查：(输入0日、1日、32日)、月输入[1、3、5、7、8、10、12]、日输入[31]、月输入[4、6、9、11]、日输入[30][31]、输入非闰年，月输入[2]，日期输入[28、29]、输入闰年，月输入[2]、日期输入[29、30]、月输入[0、1、12、13] (2)异常值、特殊字符：输入空白或NULL、输入~！@#￥%……&*（）{}[]等可能导致系统错误的字符（3）安全性检查：不能直接输入，就copy，是否数据检验出错？ 4、信息重复:在一些需要命名,且名字应该唯一的信息输入重复的名字或ID,看系统有没有处理,会否报错,重名包括是否区分大小写,以及在输入内容的前后输入空格,系统是否作出正确处理. 二、搜索功能若查询条件为输入框，则参考输入框对应类型的测试方法 1、功能实现：</p><h2>Web安全系统测试要求规范</h2><p>DKBA DKBA 2355-2009.7 .2cto.红黑联盟收集整理 Web应用安全测试规V1.2 2009年7月5日发布2009年7月5日实施所有侵权必究 All rights reserved</p><p>修订声明Revision declaration 本规拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规的相关系列规或文件：《Web应用安全开发规》相关国际规或文件一致性：《OWASP Testing Guide v3》《信息安全技术信息安全风险评估指南》《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规或文件：无相关规或文件的相互关系：本规以《Web应用安全开发规》为基础、结合Web应用的特点而制定。</p><p>目录Table of Contents 1概述 (7) 1.1背景简介 (7) 1.2适用读者 (7) 1.3适用围 (7) 1.4安全测试在IPD流程中所处的位置 (8) 1.5安全测试与安全风险评估的关系说明 (8) 1.6注意事项 (9) 1.7测试用例级别说明 (9) 2测试过程示意图 (10) 3WEB安全测试规 (11) 3.1自动化W EB漏洞扫描工具测试 (11) 3.1.1AppScan application扫描测试 (12) 3.1.2AppScan Web Service 扫描测试 (13) 3.2服务器信息收集 (13) 3.2.1运行权限测试 (13) 3.2.2Web服务器端口扫描 (14) 3.2.3HTTP方法测试 (14) 3.2.4HTTP PUT方法测试 (15) 3.2.5HTTP DELETE方法测试 (16) 3.2.6HTTP TRACE方法测试 (17) 3.2.7HTTP MOVE方法测试 (17) 3.2.8HTTP COPY方法测试 (18) 3.2.9Web服务器版本信息收集 (18) 3.3文件、目录测试 (20) 3.3.1工具方式的敏感接口遍历 (20) 3.3.2Robots方式的敏感接口查找 (21)</p><h2>Web性能测试方法及其应用论文</h2><p>Ｗｅｂ性能测试方法及其应用摘要针对Web应用软件的特征，提出了一种基于目标的性能测试方法，其关注的主要容包括与Web应用相关的负载测试和压力测试两个方面。不但对这两个方面的测试方法进行了全面的分析和探讨，还强调了测试过程管理的重要作用，最后给出了这种方法在Web应用性能测试实践中的一个具体应用。关键词：性能测试；负载测试；压力测试；软件测试一．引言目前，随着电子商务和电子政务等Web应用的兴起，基于B/S结构的软件日益强劲发展，正在成为未来软件模式的趋势。然而，当一个Web应用被开发并展现在用户、供应商或合作伙伴的面前时，尤其是即将被部署到实际运行环境之前，用户往往会疑问：这套Web应用能否承受大量并发用户的同时访问？系统对用户的请求响应情况如何？在长时间的使用下系统是否运行稳定？系统的整体性能状况如何？如果存在性能瓶颈，那么是什么约束了系统的性能？而这些正是Web性能测试解决的问题，如何有效进行Web性能测试，目前并没有一个系统和完整的回答。此外，由于紧凑的开发计划和复杂的系统架构，Web应用的测试经常是被忽视的，即使进行了测试，其关注点也主要放在功能测试上。但是，近年来Web性能测试越来越引起重视，成为Web系统必不可少的重要测试容。本文的研究就是基于这种需求，从已进行过的Web性能测试实践中总结一套基于目标的Web性能测试方法，该方法已在大量的软件测试项目实践中被证明是有效的和可操作的。其具体测试实施方面包括负载测试和压力测试。 1概述 1．1基本概念一般来说，性能测试包括负载测试和压力测试两个方面: 负载测试是为了确定在各种级别负载下系统的性能而进行的测试，其目标是测试当负载逐渐增加时，系统组成部分的相应输出项，如响应、连接失败率、CPU负载、存使用等如何决定系统的性能。压力测试是为了确定Web应用系统的瓶颈或者所能承受的极限性能点而进行的测试，其目标是获得系统所提供的最大服务级别的测试。</p><h2>最新Web应用安全测试方案</h2><p>精品文档 1 Web安全测试技术方案 1.1 测试的目标更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件更好的为今后系统建设提供指导和有价值的意见及建议 1.2 测试的范围本期测试服务范围包含如下各个系统： Web系统： 1.3 测试的内容 1.3.1 WEB^ 用针对网站及WEB系统的安全测试，我们将进行以下方面的测试： Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 XSS （跨站脚本） CRLF 注入目录遍历文件包含输入验证认证逻辑错误 Google Hacking 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP 方法（如：PUT、DELETE） 1.4 测试的流程方案制定部分：精品文档获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。信息收集部分：</p><p>这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具（AWVS burpsuite、Nmap等）进行收集。测试实施部分：在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。安全测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。此过程将循环进行，直到测试完成。最后由安全测试人员清除中间数据。分析报告输出：安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。下图是更为详细的步骤拆分示意图：精品文档 1.5 测试的手段根据安全测试的实际需求，采取自动化测试与人工检测与审核相结合的方式，大大的减少了自动化测试过程中的误报问题。</p><h2>Web应用安全测试方案</h2><p>1 Web 安全测试技术方案 1.1测试的目标更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围本期测试服务范围包含如下各个系统： Web 系统： 1.3测试的内容 1.3.1WEB 应用针对网站及WEB 系统的安全测试，我们将进行以下方面的测试： Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 RSS （跨站脚本） CRLF 注入目录遍历文件包含输入验证认证逻辑错误 GoogleHacAing 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP</p><p>方法（如：PUT、DELETE） 1.4测试的流程方案制定部分：获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。信息收集部分：这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具（AWVS 、burpsuite 、Nmap 等）进行收集。测试实施部分：在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web 应用），此阶段如果成功的话，可能获得普通权限。安全测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普</p><h2>Web安全测试的步骤</h2><p>安全测试方面应该参照spi的web安全top 10来进行。目前做软件测试人员可能对安全性测试了解不够，测试结果不是很好。如果经验不足，测试过程中可以采用一些较专业的web安全测试工具，如WebInspect、Acunetix.Web.Vulerability.Scanner等，不过自动化web安全测试的最大缺陷就是误报太多，需要认为审核测试结果，对报告进行逐项手工检测核对。对于web安全的测试用例，可以参照top 10来写，如果写一个详细的测试用例，还是比较麻烦的，建议采用安全界常用的web渗透报告结合top10来写就可以了。现在有专门做系统和网站安全检测的公司，那里做安全检测的人的技术都很好，大多都是红客。再补充点，网站即使站点不接受信用卡支付，安全问题也是非常重要的。Web 站点收集的用户资料只能在公司内部使用。如果用户信息被黑客泄露，客户在进行交易时，就不会有安全感。目录设置 Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面，这样就不会显示该目录下的所有内容。我服务的一个公司没有执行这条规则。我选中一幅图片，单击鼠标右键，找到该图片所在的路径 "…com/objects/images".然后在浏览器地址栏中手工输入该路径，发现该站点所有图片的列表。这可能没什么关系。我进入下一级目录"…com/objects" ，点击jackpot.在该目录下有很多资料，其中引起我注意的是已过期页面。该公司每个月都要更改产品价格，并且保存过期页面。我翻看了一下这些记录，就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风。 SSL 很多站点使用 SSL 进行安全传送。你知道你进入一个 SSL 站点是因为浏览器出现了警告消息，而且在地址栏中的HTTP 变成HTTPS.如果开发部门使用了SSL，测试人员需要确定是否有相应的替代页面（适用于3.0 以下版本的浏览器，这些浏览器不支持SSL.当用户进入或离开安全站点的时候，请确认有相应的提示信息。是否有连接时间限制？超过限制时间后出现什么情况？登录</p><h2>Web应用软件测试(一)</h2><p>Web应用软件测试(一) (总分：56.00，做题时间：90分钟) 一、选择题 (总题数：28，分数：56.00) 1.在Web应用软件的基本结构中，客户端的基础是 ______。（分数：2.00） A.HTML文档√ B.客户端程序 C.HTML协议 D.浏览器解析： 2.扫描漏洞是保证系统安全的一个重要措施，下列不属于漏洞扫描范畴的是 ______。（分数：2.00） A.接口漏洞√ B.操作系统漏洞 C.数据库漏洞 D.网络漏洞解析： 3.Web应用软件的程序都是部署在 ______。（分数：2.00） A.客户端 B.服务器端√ C.数据库 D.浏览器解析： 4.常用的安全策略有 ______。（分数：2.00） A.访问安全策略和安全管理策略 B.物理安全策略 C.信息加密策略 D.以上全部√ 解析： 5.以下不属于内容测试范畴的是 ______。（分数：2.00） A.测试数据库中的内容</p><p>B.测试服务器端程序是否在数据处理过程中引入错误内容 C.Cookie测试内容√ D.测试客户器端程序是否在数据处理过程中引入错误内容解析： 6.关于Web应用软件，说法不正确的是 ______。（分数：2.00） A.Web应用软件的系统测试不仅包括按照大纲检查其能否满足需求，还得针对Web应用软件的特点对薄弱环节进行测试 B.Web应用软件的开发可以根据需求有开发人员设定结构√ C.Cookie测试是功能测试的重要组成部分 D.复杂的Web应用软件不仅是一个Web站点，还需要与其他系统协作完成所需的功能解析： 7.在Web应用软件的系统安全检测与防护中，下面不属于入侵检测技术的是 ______。（分数：2.00） A.基于主机的检测 B.基于网络的检测 C.基于完整性的检测 D.基于数据库的检测√ 解析： 8.CGI程序可以根据用户的不同输入而生成不同HTML页面，最常使用的CGI编程语言是 ______。（分数：2.00） A.C语言 B.PERL语言√ C.C++语言 D.汇编语言解析： 9.下列不属于易用性测试检查范畴的是 ______。（分数：2.00） A.检查生成部分的字体类型、色彩是否美观 B.检查系统在压力下的稳定性√ C.检查生成部分与页面上其他排版元素是否一致 D.检查下载图片时间对易用性的影响解析： 10.在非对称加密算法中，涉及到的密钥个数是 ______。（分数：2.00） A.一个 B.两个√ C.三个 D.三个以上</p><h2>Web应用软件测试(二)</h2><p>Web应用软件测试(二) (总分：50.00，做题时间：90分钟) 一、单项选择题(总题数：25，分数：50.00) 1.所有的应用服务器都应提供的服务是______。（分数：2.00） A.查找服务 B.事务服务 C.安全服务 D.以上全部√ 解析： 2.在入侵检测的基础上，锁定涉嫌非法使用的用户，并限制和禁止该用户的使用，这种访问安全控制是 ______。（分数：2.00） A.入网访问控制 B.权限控制 C.网络检测控制√ D.防火墙控制解析： 3.以下关于Web应用软件测试的说法中，正确的是______。（分数：2.00） A.对Web应用软件进行性能测试时，不需要进行压力测试 B.内容测试是Web应用软件易用性测试的一项重要内容 C.Cookie测试是Web应用软件功能测试的一项重要内容√ D.是否存在无效链接是Web应用软件安全性测试关注的范畴解析：[分析] 对Web应用软件进行性能测试主要包括3个方面：并发测试、负载测试和压力测试、配置测试和性能调优，A说法错误。内容测试不属于易用性测试范畴，B说法错误。 Cookie测试是Web应用软件功能测试的一项重要内容，C正确。是否存在无效链接是Web应用软件功能测试关注的范畴，D错误。 4.关于Web应用软件，说法不正确的是______。（分数：2.00） A.Web应用软件的系统测试不仅包括按照大纲检查其能否满足需求，还得针对Web应用软件的特点对薄弱环节进行测试 B.Web应用软件的开发可以根据需求有开发人员设定结构√ C.Cookie测试是功能测试的重要组成部分 D.复杂的Web应用软件不仅是一个Web站点，还需要与其他系统协作完成所需的功能解析： 5.以下关于Web应用软件测试的说法中，错误的是______。</p><h2>web应用软件测试内容</h2><p>面向Web应用系统的测试与传统的软件测试不同，不仅需要检查和验证是否按照需求规格说明书的要求运行，而且还要测试Web应用系统在不同浏览器上显示是否符合要求，与不同的数据库连接是否有效、更重要的是在性能、安全性、可用性等方面功能测试性能测试安全性测试配置和兼容性测试可用性测试链接测试链接是Web应用系统用户界面的主要特征，它指引着Web用户在页面之间切换，以完成Web应用系统的功能测试重点链接是否正确链接页面是否存在是否有孤立的页面(没有链接指向的页面)</p><p>表单测试表单(Form)是指网页上用于输入和选择信息的文本框、列表框和其他域，实现用户和Web应用系统的交互，当用户给Web应用系统管理员提交信息时，需要使用表单操作，如用户注册、登录、信息提交、查询等测试重点表单控件的正确性提交信息的完整性、正确性是否有错误处理 Cookie测试 Cookie通常标识用户信息，记录用户状态。使用Cookie技术，当用户使用Web应用系统时，能够在访问者的机器上创立一个叫做Cookie的文件，把部分信息(访问过的页面、登录用户名、密码等)写进去，来标识用户状态。如果该用户下次再访问这个Web应用系统，就能够读出这个文件里面的内容，正确标识用户信息如果Web应用系统使用了Cookie，必须检查Cookie是否能正常工作，是否按预定的时间进行保存内容设计语言测试</p><p>在Web应用系统开发初始，根据软件工程的要求用文档的形式确定Web 应用系统使用哪个版本的HTML标准，允许使用何种脚本语言及版本，允许使用何种控件，这样可以有效的避免Web应用系统开发过程中出现设计语言问题。其他测试数据库测试面向任务、业务逻辑的测试探查性测试回归测试速度测试：对于最终的Web应用系统用户而言，最关心的性能问题是访问Web应用系统页面时，多长时间才能显示出来所需要的页面通常情况下，响应时间不超过5秒有些Web应用系统有超时限制，如果响应时间太慢，用户可能还没来得及浏览内容，就需要重新登录了影响响应时间的原因有很多应用程序服务器需要从数据库的大量数据中检索信息</p><h2>Web应用安全测试方案</h2><p>1Web安全测试技术方案 1.1测试的目标 ●更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件 ●更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围本期测试服务范围包含如下各个系统： ●Web系统： 1.3测试的内容 1.3.1WEB应用针对网站及WEB系统的安全测试，我们将进行以下方面的测试： ?Web 服务器安全漏洞 ?Web 服务器错误配置 ?SQL 注入 ?XSS（跨站脚本） ?CRLF 注入 ?目录遍历 ?文件包含 ?输入验证 ?认证 ?逻辑错误 ?Google Hacking ?密码保护区域猜测</p><p>?字典攻击 ?特定的错误页面检测 ?脆弱权限的目录 ?危险的HTTP 方法（如：PUT、DELETE） 1.4测试的流程方案制定部分：获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。信息收集部分：这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具（AWVS、burpsuite、Nmap等）进行收集。测试实施部分：在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。安全测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。此过程将循环进行，直到测试完成。最后由安全测试人员清除中间数据。分析报告输出：安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。下图是更为详细的步骤拆分示意图：</p><h2>web安全性测试</h2><p>WEB 安全性测试第一章：预备知识： 1.1 SQL 语句基础 1.2 HTML语言 HTML（HyperTextMark-upLanguage）即超文本标记语言，是WWW的描述语言。html 是在 sgml 定义下的一个描述性语言，或可说 html 是 sgml 的一个应用程式，html 不是程式语言，它只是标示语言。实例： <html> <body> <form action="MAILTO:https://www.wendangku.net/doc/2312984225.html," method="post" enctype="text/plain"> <h3>这个表单会把电子发送到 W3School。</h3> ：<br /> <input type="text" name="name" value="yourname" size="20"> <br /> 电邮：<br /> <input type="text" name="mail" value="yourmail" size="20"> <br /> 容：<br /> <input type="text" name="comment" value="yourcomment" size="40"> <br /><br /> <input type="submit" value="发送"> <input type="reset" value="重置"> </form> </body> </html> 表单提交中Get和Post方式的区别有5点 1. get是从服务器上获取数据，post是向服务器传送数据。 2. get是把参数数据队列加到提交表单的ACTION属性所指的URL中，值和表单各个字段一一对应，在URL中可以看到。post是通过HTTP post机制，将表单各个字段与其容放置在HTML HEADER一起传送到ACTION属性所指的URL地址。用户看不到这个过程。 3. 对于get方式，服务器端用Request.QueryString获取变量的值，对于post方式，服务器端用Request.Form获取提交的数据。</p><h2>如何进行WEB安全性测试</h2><p>WEB的安全性测试主要从以下方面考虑：目录 1.SQL Injection(SQL注入) (1) 2.Cross-site scritping(XSS):(跨站点脚本攻击) (3) 3.CSRF:(跨站点伪造请求) (6) 4.Email Header Injection(邮件标头注入) (6) 5.Directory Traversal(目录遍历) (7) 6.exposed error messages(错误信息) (7) 1.SQL Injection(SQL注入) (1)如何进行SQL注入测试? ?首先找到带有参数传递的URL页面,如搜索页面,登录页面,提交评论页面等等. 注1:对于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递.在<FORM> 和</FORM>的标签中间的每一个参数传递都有可能被利用. <form id="form_search" action="/search/" method="get"> <div> <input type="text" name="q" id="search_q" value="" /> <input name="search" type="image" src="/media/images/site/search_btn.gif" /> <a href="/search/" class="fl">Gamefinder</a> </div> </form> 注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如HTTP://DOMAIN/INDEX.ASP?ID=10 ?其次,在URL参数或表单中加入某些特殊的SQL语句或SQL片断,如在登录页面的URL中输入HTTP://DOMAIN /INDEX.ASP?USERNAME=HI' OR 1=1--</p><h2>Web测试方法</h2><p>一：Web 测试总结（1）测试是一种思维，包括情感思维和智力思维，情感思维主要体现在一句俗语：思想决定行动上（要怀疑一切），智力思维主要体现在测试用例的设计上。具有了这样的思想，就会找出更多的bug。（^_^个人认为，不代表官方立场）对于一个web网站来说，主要从这么几个大的方面来进行测试： 1、功能测试； 2、界面测试； 3、易用性测试； 4、兼容性测试； 5、链接测试； 6、业务流程测试；7、安全性测试下面主要从以上七个方面进行叙述：一、功能测试测试用例是测试的核心，测试用例的设计是一种思维方式的体现，在用例的设计中，用的比较多的方法是边界值分析法和等价类划分法，下面主要从输入框，搜索功能，添加、修改功能，删除功能，注册、登录功能以及上传图片功能等11个方面进行总结说明。 1、输入框输入框是测试中最容易出现bug的地方，所以在测试时，一定要多加注意。</p><p>2、搜索功能（1）比较长的名称是否能查到？（2）空格或空（3）名称中含有特殊字符，如：' $ % & *以及空格等（4）关键词前面或后面有空格</p><p>（5）如果支持模糊查询，搜索名称中任意一个字符是否能搜索到（6）输入系统中不存在与之匹配的条件（7）两个查询条件是否为2选1，来回选择是否出现页面错误（8）输入脚本语言,如：<script>alter(“abc”)</script>等 3、添加、修改功能（1）是否支持tab键（2）是否支持enter键（3）不符合要求的地方是否有错误提示（4）保存后，是否也插入到数据库中？（5）字段唯一的，是否可以重复添加（6）对编辑页列表中的每个编辑项进行修改，点击保存，是否保存成功？（7）对于必填项，修改为空、空格或其他特殊符号，是否可以编辑成功（8）在输入框中，直接回车（9）是否能够连续添加（10）在编辑的时候，要注意编辑项的长度限制，有时，添加时有长度限制，但编辑时却没有（添加和修改规则是否一致）（11）添加时，字段是唯一的，不允许重复，但有时，编辑时，却可以修改为相同字段（相同字段包括是否区分大小写以及在输入内容的前后输入空格）（12）添加含有特殊符号或空格的内容（13）对于有图片上传功能的编辑框，对于没有上传的图片，查看编辑页面时，是否显示默认图片，如果上传了图片，是否显示为上传图片？ 4、删除功能（1）输入正确数据前加空格，看是否能正确删除？（2）是否支持enter键（3）是否能连续删除多个产品？当只有一条数据时，能否成功删除？</p><h2>web安全测试要点总结解析</h2><p>一、Web 应用安全威胁分为如下六类： (2) 二、常见针对Web 应用攻击的十大手段 (2) 三、Rational AppScan功能简介 (3) 四、Web安全体系测试 (4) 五、web安全测试的checklist (5) 六、跨站点脚本攻击测试要点 (7) 七、Cookie： (10) 八、跨站点攻击： (12) 九、DOS攻击： (13) 十、暴力破解 (14) 十一、 sql注入 (15)</p><p>一、Web 应用安全威胁分为如下六类： Authentication（验证）用来确认某用户、服务或是应用身份的攻击手段。 Authorization（授权）用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。 Client-Side Attacks（客户侧攻击）用来扰乱或是探测Web 站点用户的攻击手段。 Command Execution（命令执行）在Web 站点上执行远程命令的攻击手段。 Information Disclosure（信息暴露）用来获取Web 站点具体系统信息的攻击手段。 Logical Attacks（逻辑性攻击）用来扰乱或是探测Web 应用逻辑流程的攻击手段二、常见针对Web 应用攻击的十大手段应用威胁负面影响后果跨网站脚本攻击标识盗窃，敏感数据丢失…黑客可以模拟合法用户，控制其帐户。注入攻击通过构造查询对数据库、LDAP 和其他系统进行非法查询。黑客可以访问后端数据库信息，修改、盗窃。恶意文件执行在服务器上执行Shell 命令 Execute，获取控制权。被修改的站点将所有交易传送给黑客不安全对象引用黑客访问敏感文件和资源Web 应用返回敏感文件内容伪造跨站点请求黑客调用Blind 动作，模拟合法用户黑客发起Blind 请求，要求进行转帐</p><h2>Web应用系统测试内容有哪些</h2><p>Web应用系统测试内容有哪些面向Web应用系统的测试与传统的软件测试不同，不仅需要检查和验证是否按照需求规格说明书的要求运行，而且还要测试Web应用系统在不同浏览器上显示是否符合要求，与不同的数据库连接是否有效、更重要的是在性能、安全性、可用性等方面功能测试性能测试安全性测试配置和兼容性测试可用性测试链接测试链接是Web应用系统用户界面的主要特征，它指引着Web用户在页面之间切换，以完成Web应用系统的功能测试重点链接是否正确链接页面是否存在是否有孤立的页面(没有链接指向的页面) 表单测试表单(Form)是指网页上用于输入和选择信息的文本框、列表框和其他域，实现用户和Web应用系统的交互，当用户给Web应用系统管理员提交信息时，需要使用表单操作，如用户注册、登录、信息提交、查询等测试重点表单控件的正确性提交信息的完整性、正确性是否有错误处理 Cookie测试 Cookie通常标识用户信息，记录用户状态。使用Cookie技术，当用户使用Web应用系统时，能够在访问者的机器上创立一个叫做Cookie的文件，把部分信息(访问过的页面、登录用户名、密码等)写进去，来标识用户状态。如果该用户下次再访问这个Web应用系统，就能够读出这个文件里面的内容，正确标识用户信息如果Web应用系统使用了Cookie，必须检查Cookie是否能正常工作，是否按预定的时间进行保存内容</p><p>设计语言测试在Web应用系统开发初始，根据软件工程的要求用文档的形式确定Web应用系统使用哪个版本的HTML标准，允许使用何种脚本语言及版本，允许使用何种控件，这样可以有效的避免Web应用系统开发过程中出现设计语言问题。其他测试数据库测试面向任务、业务逻辑的测试探查性测试回归测试速度测试：对于最终的Web应用系统用户而言，最关心的性能问题是访问Web应用系统页面时，多长时间才能显示出来所需要的页面通常情况下，响应时间不超过5秒有些Web应用系统有超时限制，如果响应时间太慢，用户可能还没来得及浏览内容，就需要重新登录了影响响应时间的原因有很多应用程序服务器需要从数据库的大量数据中检索信息服务器硬件影响(CPU、内存) 所访问页面文件大小网络连接带宽负载测试负载测试是为了测量Web应用系统在一定负载情况下的系统性能，通常得出的结论是Web应用系统在一定的硬件条件下可以支持的并发用户数目或者单位时间数据(或事件)的吞吐量。在进行负载测试前，需要定义标准用户(活动用户)的概念，定义执行典型的系统流程，定义负载测试执行总时间，定义抓取哪些事务的平均响应时间，定义用户可以接受的平均响应时间(通常为5秒) 测试时，增加用户数量，平均响应时间就会增加，当达到用户可以接受的平均响应时间这个临界点，即是此系统可以支持的并发用户数压力测试对Web系统进行压力测试，类似于普通机械、电子产品进行的破坏性试验。方法是实际破坏Web应用系统，测试系统的反应压力测试是测试系统的限制和故障恢复能力，也就是测试Web应用系统会不会崩溃，</p><h2>网站安全性测试</h2><p>网站安全测评一．Web应用系统的安全性测试区域主要有：（1）现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。（2）Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。（3）为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。（4）当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。（5）服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。二．一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。 1.安全体系测试 1) 部署与基础结构 a. 网络是否提供了安全的通信 b. 部署拓扑结构是否包括内部的防火墙 c. 部署拓扑结构中是否包括远程应用程序服务器 d.基础结构安全性需求的限制是什么 e.目标环境支持怎样的信任级别 2) 输入验证</p><p>a. 如何验证输入 b.是否清楚入口点 c.是否清楚信任边界 d. 是否验证Web页输入 e.是否对传递到组件或Web服务的参数进行验证 f.是否验证从数据库中检索的数据 g.是否将方法集中起来 h.是否依赖客户端的验证 i.应用程序是否易受SQL注入攻击 j. 应用程序是否易受XSS攻击 k.如何处理输入 3)身份验证 a. 是否区分公共访问和受限访问 b.是否明确服务帐户要求 c.如何验证调用者身份 d. 如何验证数据库的身份 e.是否强制试用帐户管理措施 4)授权 a.如何向最终用户授权 b.如何在数据库中授权应用程序 c.如何将访问限定于系统级资源 5)配置管理 a.是否支持远程管理 b.是否保证配置存储的安全 c.是否隔离管理员特权 6)敏感数据 a.是否存储机密信息 b.如何存储敏感数据 c.是否在网络中传递敏感数据 d.是否记录敏感数据</p><h2>WEB应用渗透测试的步骤</h2><p>渗透测试的两大阶段渗透测试不能测试出所有可能的安全问题，它只是一个特定环境下才合适的WEB应用安全测试技术。O WASP的渗透测试方法是基于墨盒方法的，测试人员在测试前不知道或只知道很有限的关于被测试应用的信息。渗透测试被分成两大阶段： ■ 被动模式阶段在这个阶段，测试人员试图去理解被测应用的逻辑，并且去使用它。可以使用工具去收集信息，例如，可以用HTTP代理工具去观察所有请求与响应。本阶段结束后，测试人员应该理解了应用的所有访问点（如，HTTP报头、参数和COOKIE）。信息收集一节将介绍如何进行被动模式的测试。 ■ 主动模式阶段这个阶段里，测试人员将利用后述的9大类66种方法主动地去测试。被动模式阶段信息收集安全评估的第一步是收集尽可能多的关于被测应用的信息。信息收集是渗透测试的必要步骤。通常使用公共工具（搜索引擎）、扫描器、发送简单或特别的HTTP请求等来迫使被测应用泄漏信息。 ◆使用蜘蛛、机器人和爬虫目标是浏览和捕获被测应用相关的资源。 ◆搜索引擎发现与侦察类似GOOGLE这样的搜索引擎可以用来发现被测应用中已经被公开的错误页面或WEB应用结构问题。 ◆识别应用入口点枚举被测应用及其攻击面是展开任何攻击的的一个关键性前提。 ◆测试WEB应用指纹应用指纹是信息收集的第一步。知道正在运行的WEB服务器的版本和类型后，测试人员可以确定已知的漏洞和测试过程中的相应攻击方法。获取WEB应用指纹的自动化工具Httprint和在线工具Netcraft。 ◆应用发现应用发现是一项面向驻留在WEB/应用服务器中的WEB应用识别的活动。这种分析很重要，因为没有一个直接连接到主要应用的后端。分析可以发现有助于揭示诸如用于管理目的的WEB应用程序的细节。此外，它可以揭示诸如取消删除的，过时的脚本文件，这些文件通常是在测试、开发或维护过程产生的。可能使用到的工具： 1、DNS查询工具，如nslookup， dig等。 2、端口扫描器（如nmap： https://www.wendangku.net/doc/2312984225.html,）和漏洞扫描器（如Nessus： https://www.wendangku.net/doc/2312984225.html,和wikto： [1]）。 3、搜索引擎（如Google）。</p></div> </div> <div> <div>相关文档</div> <div class="relatedtopic"> <div id="tabs-section" class="tabs"> <ul class="tab-head"> <li id="20408859"><a href="/topic/20408859/" target="_blank">web安全性测试</a></li> <li id="11672663"><a href="/topic/11672663/" target="_blank">web应用测试</a></li> </ul> </div> </div> </div> </div> <div class="category"> <span class="navname">相关文档</span> <ul class="lista"> <li><a href="/doc/bc1163104.html" target="_blank">Web网站安全性测试用例</a></li> <li><a href="/doc/d211151249.html" target="_blank">常见的web安全性测试点</a></li> <li><a href="/doc/2b1256372.html" target="_blank">Web安全系统测试要求规范</a></li> <li><a href="/doc/3510468387.html" target="_blank">软件测试实践教程-第7章Web安全性测试</a></li> <li><a href="/doc/5514590434.html" target="_blank">常见的web安全性测试点</a></li> <li><a href="/doc/95124969.html" target="_blank">web安全测试</a></li> <li><a href="/doc/bb8673068.html" target="_blank">web网页测试用例(非常实用)</a></li> <li><a href="/doc/d515313186.html" target="_blank">web常见安全问题以及测试方法</a></li> <li><a href="/doc/2610473098.html" target="_blank">web安全测试</a></li> <li><a href="/doc/5c4816779.html" target="_blank">web安全测试要点总结解析</a></li> <li><a href="/doc/629050754.html" target="_blank">Web应用安全性测试</a></li> <li><a href="/doc/a69009297.html" target="_blank">web安全测试</a></li> <li><a href="/doc/d78597944.html" target="_blank">web安全测试用例</a></li> <li><a href="/doc/1717960846.html" target="_blank">Web安全测试规范</a></li> <li><a href="/doc/2817275004.html" target="_blank">Web安全性测试技术综述_于莉莉</a></li> <li><a href="/doc/5810077096.html" target="_blank">WEB安全测试培训</a></li> <li><a href="/doc/8a1830774.html" target="_blank">web安全性测试(liuchang)</a></li> <li><a href="/doc/b76740030.html" target="_blank">常见的web安全性测试点</a></li> <li><a href="/doc/d413081641.html" target="_blank">WEB安全性测试测试用例(基础)</a></li> <li><a href="/doc/2d2378531.html" target="_blank">Web安全测试的步骤</a></li> </ul> <span class="navname">最新文档</span> <ul class="lista"> <li><a href="/doc/0719509601.html" target="_blank">幼儿园小班科学《小动物过冬》PPT课件教案</a></li> <li><a href="/doc/0e19509602.html" target="_blank">2021年春新青岛版(五四制)科学四年级下册 20.《露和霜》教学课件</a></li> <li><a href="/doc/9319184372.html" target="_blank">自然教育课件</a></li> <li><a href="/doc/3019258759.html" target="_blank">小学语文优质课火烧云教材分析及课件</a></li> <li><a href="/doc/db19211938.html" target="_blank">(超详)高中语文知识点归纳汇总</a></li> <li><a href="/doc/af19240639.html" target="_blank">高中语文基础知识点总结(5篇)</a></li> <li><a href="/doc/9919184371.html" target="_blank">高中语文基础知识点总结(最新)</a></li> <li><a href="/doc/8b19195909.html" target="_blank">高中语文知识点整理总结</a></li> <li><a href="/doc/8019195910.html" target="_blank">高中语文知识点归纳</a></li> <li><a href="/doc/7f19336998.html" target="_blank">高中语文基础知识点总结大全</a></li> <li><a href="/doc/7a19336999.html" target="_blank">超详细的高中语文知识点归纳</a></li> <li><a href="/doc/6719035160.html" target="_blank">高考语文知识点总结高中</a></li> <li><a href="/doc/6a19035161.html" target="_blank">高中语文知识点总结归纳</a></li> <li><a href="/doc/4d19232289.html" target="_blank">高中语文知识点整理总结</a></li> <li><a href="/doc/3a19258758.html" target="_blank">高中语文知识点归纳</a></li> <li><a href="/doc/2519396978.html" target="_blank">高中语文知识点归纳(大全)</a></li> <li><a href="/doc/2419396979.html" target="_blank">高中语文知识点总结归纳(汇总8篇)</a></li> <li><a href="/doc/1f19338136.html" target="_blank">高中语文基础知识点整理</a></li> <li><a href="/doc/ef19066069.html" target="_blank">化工厂应急预案</a></li> <li><a href="/doc/bc19159069.html" target="_blank">化工消防应急预案(精选8篇)</a></li> </ul> </div> </div> <script> var sdocid = "2abe60ea332b3169a45177232f60ddccdb38e64f"; </script> <div class="footer"> <p><a href="/tousu.html" target="_blank">侵权投诉</a> © 2013-2023 www.wendangku.net <a href="/sitemap.html">站点地图</a> | <a href="https://m.wendangku.net">手机版</a></p> <p><a href="https://beian.miit.gov.cn" target="_blank">闽ICP备11023808号-7</a> 本站文档均来自互联网及网友上传分享，本站只负责收集和整理，有任何问题可通过上访投诉通道进行反馈</p> </div> <script type="text/javascript">foot();</script> </div> </body> </html>