《Web应用安全测试规范》由会员分享,可在线阅读,更多相关《Web应用安全测试规范(63页珍藏版)》请在金锄头文库上搜索。
1、http:/ 2355-2009.7Web应用安全测试规范V1.22009年7月5日发布 2009年7月5日实施版权所有 侵权必究 All rights reserved修订声明修订声明Revision declaration本规范拟制与解释部门:本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务 管理部本规范的相关系列规范或文件:本规范的相关系列规范或文件:Web应用安全开发规范相关国际规范或文件一致性:相关国际规范或文件一致性:OWASP Testing Guide v3信息安全技术信息安全风险评估指南Information technolo
2、gy Security techniques Management of information and communications technology securityISO 13335替代或作废的其它规范或文件:替代或作废的其它规范或文件:无相关规范或文件的相互关系:相关规范或文件的相互关系:本规范以Web应用安全开发规范为基础、结合Web应用的特点而制定。版本号版本号主要起草部门专家主要起草部门专家主要评审部门专家主要评审部门专家修订情况修订情况V1.1V1.2增加 Web Service、上传、下 载、控制台等方面 的测试规范,更正 V1.1 一些描述不准 确的测试项目目 录录 T
3、able of Contents1概述概述.71.1背景简介.71.2适用读者.71.3适用范围.71.4安全测试在IPD流程中所处的位置81.5安全测试与安全风险评估的关系说明.81.6注意事项.91.7测试用例级别说明.92测试过程示意图测试过程示意图.103WEB安全测试规范安全测试规范 .113.1自动化WEB漏洞扫描工具测试.113.1.1 AppScan application扫描测试.123.1.2 AppScan Web Service 扫描测试133.2服务器信息收集.133.2.1 运行帐号权限测试133.2.2 Web服务器端口扫描 .143.2.3 HTTP方法测试.1
4、43.2.4 HTTP PUT方法测试153.2.5 HTTP DELETE方法测试.163.2.6 HTTP TRACE方法测试.173.2.7 HTTP MOVE方法测试 173.2.8 HTTP COPY方法测试.183.2.9 Web服务器版本信息收集 .193.3文件、目录测试.203.3.1 工具方式的敏感接口遍历203.3.2 Robots方式的敏感接口查找.223.3.3 Web服务器的控制台 .233.3.4 目录列表测试243.3.5 文件归档测试273.4认证测试.283.4.1 验证码测试283.4.2 认证错误提示293.4.3 锁定策略测试293.4.4 认证绕过测
5、试303.4.5 找回密码测试313.4.6 修改密码测试313.4.7 不安全的数据传输323.4.8 强口令策略测试333.5会话管理测试.353.5.1 身份信息维护方式测试353.5.2 Cookie存储方式测试.353.5.3 用户注销登陆的方式测试363.5.4 注销时会话信息是否清除测试363.5.5 会话超时时间测试373.5.6 会话定置测试383.6权限管理测试.393.6.1 横向测试403.6.2 纵向测试413.7文件上传下载测试.463.7.1 文件上传测试463.7.2 文件下载测试473.8信息泄漏测试.483.8.1 连接数据库的帐号密码加密测试483.8.2
6、 客户端源代码敏感信息测试493.8.3 客户端源代码注释测试493.8.4 异常处理503.8.5 HappyAxis.jsp页面测试 513.8.6 Web服务器状态信息测试 .523.8.7 不安全的存储533.9输入数据测试.533.9.1 SQL注入测试533.9.2 MML语法注入.553.9.3 命令执行测试563.10跨站脚本攻击测试.563.10.1 GET方式跨站脚本测试 .563.10.2 POST方式跨站脚本测试.573.11逻辑测试.583.12搜索引擎信息收集.593.13WEB SERVICE测试.593.14其他.623.14.1 class文件反编译测试.62
7、4APPSCAN测试覆盖项说明测试覆盖项说明.635附件附件.645.1本规范所涉及的测试工具.64Web安全测试规范缩略语清单缩略语缩略语全称全称CRLFrn回车换行LDAPLightweight Directory Access Protocol 轻量级目录访问协议MMLman-machine language 人机交互语言SessionID标志会话的IDWeb ServiceWeb服务是一种面向服务的架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。SOAPSimple Object Access Protocol 简单对象访问协议XFSCross Fra
8、me Script 跨帧脚本XSSCross Site Script 跨站脚本1 概述概述1.1背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破坏不断增多,在线安全面临日益严峻的挑战,安全风险达到了前所未有的高度。为了规避Web安全风险、规范Web安全开发,公司已经制定并发布了Web 应用安全开发规范;但如何系统的进行Web安全性测试,目前缺少相应的理论和方法支撑。为此,我们制定Web 安全测试规范,本规范可让测试人员针对Web常见安全漏洞或攻击方式,系统的对被测Web系统进行快速安全性测试。1.2适用读者本规范的读者及使用对象主要为Web相关
9、的测试人员、开发人员、专职的安全测试评估人员等。1.3适用范围本规范主要针对基于通用服务器的Web应用系统,其他Web系统也可以参考,如基于嵌入式系统的Web维护接口等。如下图例说明了一种典型的基于通用服务器的Web应用系统:Web应用应用应用服务器应用服务器UniportalJBoss客户端客户端Web服务器服务器IISApache数据库服务器数据库服务器OracleDB2本规范中的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最佳安全实践,涵盖Web安全开发规范的内容。1.4安全测试在 IPD 流程中所处的位置一般建议在TR4前根据产品实现架构及安全需求,
10、完成Web安全性测试需求分析和测试设计,准备好Web安全测试用例。在TR4版本正式转测试后,即可进行Web安全测试。如果产品质量不稳定,前期功能性问题较多,则可适当推后Web安全测试执行,但最迟不得超过TR5。1.5安全测试与安全风险评估的关系说明安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性及严重程度。其中威胁(Threat)是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。脆弱性(Vulnerability)也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性达到破坏系统安全运行的目的。本规范所描述的安全测试仅是安全风险
11、评估中的一个活动,对应于安全风险评估过程中的脆弱性识别部分,特别是技术性的脆弱性识别。完整的安全风险评估过程、概念见GB/T 20984-2007信息安全技术 信息安全风险评估规范。1.6注意事项Web安全测试的执行,对于被测系统,或多或少都会存在一些影响(比如性能、垃圾数据),建议只在测试环境中进行;如果一定要在现网运行环境中执行,那么务必配置专门的测试数据,测试执行是应该非常慎重,只能修改或删除这些测试数据,禁止修改、删除现网其他数据。本规范最主要目的是为了发现安全弱点,至于发现一个弱点以后更深一步的渗透测试在这里不会涉及。例如针对暴力破解测试,我们只给出验证存在暴力破解漏洞的可能,但不会
12、提供暴力破解的方法。本文档中所有提及的测试工具的申请和使用,请遵循公司信息安全相关规定。如果是内部试验环境进行测试,可以考虑去除一些防护措施或设备(如防火墙),这样能保证发现问题的全面性。本文档根据最严格的方式对目标进行测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试。例如密码策略测试项中,测试人员可以根据测试目标的密码位数要求进行测试,而不需要完全依照测试项里面规定的位数进行测试。1.7测试用例级别说明一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:危害程度发生概率高中低高高高中中高中低低中低低表1 风险等级界定表本测试规范用例
13、根据上面的定义分为四个测试级别:测试用例级别测试用例级别说明说明1基本:该类用例涉及可能导致风险程度为高的安全漏洞,在任何情况下都必须进行测试。2重要:该类用例涉及可能导致风险程度为中的安全漏洞,在条件允许(时间、人力充沛)情况下必须进行测试。3一般:该类用例涉及可能导致风险程度为低的安全漏洞,测试结果可能对其他测试有帮助。测试与否根据业务系统的重要性来判断。4生僻:该类用例涉及可能导致风险程度为极低的安全漏洞,攻击者只能收集到很少且无关紧要的信息。一般情况下不建议进行测试。表2 测试级别说明表2 测试过程示意图测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的
14、了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。造成的影响造成的影响主动主动模式模式被动模式被动模式初始化完成Web结构获取权 限 测 试归 档 测 试参 数 分 析异 常 处 理注 入 测 试命 令 执 行文 件 包 含跨 站 脚 本信
15、息 窃 取备 份 文 件后 台 查 找目 录 列 表会 话 管 理信息泄漏数据破坏拒绝服务信息获取熟悉业务逻辑Google Hacking接 口 测 试认 证 测 试暴 力 破 解认 证 绕 过逻 辑 处 理越 权 操 作身份仿冒日 志 检 查拒 绝 服 务上 传 下 载3 Web 安全测试规范安全测试规范3.1自动化 Web 漏洞扫描工具测试自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL注入等),不是针对用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。Web目前分为appli
16、cation和Web service两部分。Application指通常意义上的Web应用,而Web service是一种面向服务的架构的技术,通过标准的Web协议(如HTTP、XML、SOAP、WSDL)提供服务。3.1.1AppScan application 扫描测试编号SEC_Web_TOOL_01测试用例名称AppScan application 扫描测试测试目的利用自动化的Web安全扫描工具AppScan进行扫描,以发现Web应用中存在的常见漏洞用例级别1测试条件1、 已知Web服务器域名或IP地址2、 Web业务运行正常3、 测试用机上安装了AppScan执行步骤1、 双击运行AppScan,选择filenew新建扫描,选择扫描模板default2、 弹出扫描配置对话框,选择扫描类型,默认为Web Application Scan,点击next3、 在Starting URL中填入需扫描的目标服务器域名或IP地址,其他配置不
