Web安全系统测试要求规范

DKBA

DKBA 2355-2009.7 .2cto.红黑联盟收集整理

Web应用安全测试规V1.2

2009年7月5日发布2009年7月5日实施

所有侵权必究

All rights reserved

修订声明Revision declaration

本规拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规的相关系列规或文件：

《Web应用安全开发规》

相关国际规或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335

替代或作废的其它规或文件：

无

相关规或文件的相互关系：

本规以《Web应用安全开发规》为基础、结合Web应用的特点而制定。

目录Table of Contents

1概述 (7)

1.1背景简介 (7)

1.2适用读者 (7)

1.3适用围 (7)

1.4安全测试在IPD流程中所处的位置 (8)

1.5安全测试与安全风险评估的关系说明 (8)

1.6注意事项 (9)

1.7测试用例级别说明 (9)

2测试过程示意图 (10)

3WEB安全测试规 (11)

3.1自动化W EB漏洞扫描工具测试 (11)

3.1.1AppScan application扫描测试 (12)

3.1.2AppScan Web Service 扫描测试 (13)

3.2服务器信息收集 (13)

3.2.1运行权限测试 (13)

3.2.2Web服务器端口扫描 (14)

3.2.3HTTP方法测试 (14)

3.2.4HTTP PUT方法测试 (15)

3.2.5HTTP DELETE方法测试 (16)

3.2.6HTTP TRACE方法测试 (17)

3.2.7HTTP MOVE方法测试 (17)

3.2.8HTTP COPY方法测试 (18)

3.2.9Web服务器版本信息收集 (18)

3.3文件、目录测试 (20)

3.3.1工具方式的敏感接口遍历 (20)

3.3.2Robots方式的敏感接口查找 (21)

3.3.3Web服务器的控制台 (22)

3.3.4目录列表测试 (23)

3.3.5文件归档测试 (26)

3.4认证测试 (26)

3.4.1验证码测试 (27)

3.4.2认证错误提示 (28)

3.4.3锁定策略测试 (28)

3.4.4认证绕过测试 (29)

3.4.5找回密码测试 (30)

3.4.6修改密码测试 (30)

3.4.7不安全的数据传输 (31)

3.4.8强口令策略测试 (32)

3.5会话管理测试 (34)

3.5.1身份信息维护方式测试 (34)

3.5.2Cookie存储方式测试 (34)

3.5.3用户注销登陆的方式测试 (35)

3.5.4注销时会话信息是否清除测试 (35)

3.5.5会话超时时间测试 (36)

3.5.6会话定置测试 (37)

3.6权限管理测试 (37)

3.6.1横向测试 (38)

3.6.2纵向测试 (40)

3.7文件上传下载测试 (45)

3.7.1文件上传测试 (45)

3.7.2文件下载测试 (46)

3.8信息泄漏测试 (47)

3.8.1连接数据库的密码加密测试 (47)

3.8.2客户端源代码敏感信息测试 (48)

3.8.3客户端源代码注释测试 (48)

最受欢迎的十大WEB应用安全评估系统教学教材

最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明： 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作，能扫描和检测所有常见的Web 应用安全漏洞，例如SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。 游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如ISO 27001、OWASP 2007等。 2.HP WebInspect

目前，许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术，HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核（simultaneous crawl and audit, SCA）及并发应用程序扫描，您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能： ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具（HP Security Toolkit）执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注：毫无疑问的，WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner

web安全考试

web安全测试

————————————————————————————————作者：————————————————————————————————日期：

Web安全测试——手工安全测试方法及修改建议发表于：2017-7-17 11:47 作者：liqingxin 来源：51Testing软件测试网采编 字体：大中小 | 上一篇 | 下一篇 | 打印 |我要投稿 | 推荐标签：软件测试工具XSS安全测试工 具 常见问题 1.XSS(CrossSite Script)跨站脚本攻击 XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行，从而达到恶意用户的特殊目的。 测试方法： 在数据输入界面，添加记录输入：，添加成功如果弹出对话框，表明此处存在一个XSS 漏洞。 或把url请求中参数改为，如果页面弹出对话框，表明此处存在一个XSS 漏洞 修改建议： 过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验（如通过正则表达式等）。 Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤 2.CSRF与跨站脚本(XSS) CSRF与跨站脚本(XSS)，是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动。

WEB软件测试总结报告

XXX项目测试总结报告 目录 1.项目测试结果 (2) 1.1 BUG严重程度 (2) 1.2 BUG问题分布状况 (3) 2.测试结论 (4) 2.1界面测试 (4) 2.2功能测试 (4) 2.3兼容性测试(Windows下) (4) 2.4易用性 (4) 2.5 负载/压力测试 (5) 3.软件问题总结与分析 (6) 4.建议 (7)

1.项目测试结果 1.1 BUG严重程度 测试发现的bug主要集中在次要功能和轻微，属于一般性的缺陷，但测试的时候出现了37个主逻辑级别的bug,以及严重级别的2个.

1.2 BUG问题分布状况 由上图可以看出，主要为代码错误占36%,以及标准规范的问题占35%,界面优化占17%,设计缺陷占9%,其他占2%

2.测试结论 2.1界面测试 网站系统实现与设计稿一致。站点的导航条位置，导航的内容布局，首页呈现的样式与需求一致。网站的界面符合标准和规范，直观性强。 2.2功能测试 分不同账号总权限账号,以及店长账号分别进行功能测试。 1:链接测试无问题,不存在死链接,测试链接都存在. 2:对页面各个不同数据的测试,主要的出入库,销售报表,订单查看管理等一一对应,不存在数据有误差的问题. 2.3兼容性测试(Wind ows下) 测试总的浏览器包括:360极速浏览器,火狐浏览器,谷歌浏览器,IE浏览器,测试通过,主要逻辑以及次要功能都没问题,因为浏览器的不同,导致界面浏览不一定相同,例如有的界面浏览页面显示正常,有的界面显示不一样 。 2.4易用性 网站实现了如下易用性： 1. 输入限制的正确性 2. 输入限制提示信息的正确性，可理解性，一致性 3. 界面排版美观 4. web应用系统易于导航，直观 5. web应用系统的页面结构、导航、菜单、连接的风格一致

web常用测试方法

一、输入框 1、字符型输入框： （1）字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符“~！@#￥%……&*？[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入。 （2）长度检查：最小长度、最大长度、最小长度-1、最大长度+1、输入超工字符比如把整个文章拷贝过去。 （3）空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空 格 （4）多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回 车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示）、（5）安全性检查：输入特殊字符串 （null,NULL, ,javascript,,