《Web安全测试规范》由会员分享,可在线阅读,更多相关《Web安全测试规范(88页珍藏版)》请在金锄头文库上搜索。
1、-DKBA华为技术*内部技术规*DKBA 2355-2009.7Web应用平安测试规*V1.42009年7月5日发布 2009年7月5日实施华为技术*Huawei Technologies Co., Ltd.所有侵权必究All rights reserved. z.-修订声明Revision declaration本规*拟制与解释部门:平安解决方案部电信网络与业务平安实验室、软件公司平安TMG、软件公司测试业务管理部本规*的相关系列规*或文件:Web应用平安开发规*相关国际规*或文件一致性:OWASP Testing Guide v3信息平安技术信息平安风险评估指南Information te
2、chnology Security techniques Management of information and munications technology securityISO 13335替代或作废的其它规*或文件:无相关规*或文件的相互关系:本规*以Web应用平安开发规*为根底、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1平安解决方案:赵武、吕晓雨56987、王欢00104062业务与软件测试部系统部:孟咏喜00137435平安解决方案:*海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、*顶峰、龚连阳、许汝波、王娟娟、龚小
3、华、王向辉、李磊、杨晓峰网络解决方案验证部:*喆核心网:车广芳、苏三、*京、冻良V1.2何伟祥33428*顶峰、吴宇翔、杨光磊、王欢、胡坤红、*伟、孟咏喜、成庆华、黎迎斌、周鹏、*喆、文*、*理、姜永章、苏燕鲁增加Web Service、上传、下载、控制台等方面的测试规*,更正V1.1一些描述不准确的测试项V1.3何伟祥00162822*顶峰、胡坤红、*伟增加“会话固定、“审计日志、“DWR的平安测试规*,完善验证码平安测试的方法。V1.4*振南 00264924胡坤红、*伟、宋飞、夏成林、王欢、沈海涛、钱育波、石功新增以下内容:3.3.5 SEC_Web_ DIR_05_02版本控制软件SV
4、N备份文件测试 3.5.8 会话标识随机性测试 跨站伪造请求测试 3.9.2 LDAP注入测试 3.9.5 回车换行符CRLF注入测试 3.9.6 *ML注入测试 3.13 SEC_Web_SERVICE_02 Web Service测试 3.15 HTML5平安测试 3.16 FLASH平安配置测试 3.17.3 WEB部署与管理测试 3.17.4 Struts2框架测试 5.2 HTML5新增标签目录 Table of Contents1概述21.1背景简介21.2适用读者21.3适用*围21.4平安测试在IPD流程中所处的位置21.5平安测试与平安风险评估的关系说明21.6考前须知21.
5、7测试用例级别说明22测试过程示意图23WEB平安测试规*23.1自动化Web漏洞扫描工具测试23.1.1AppScan application扫描测试23.1.2AppScan Web Service 扫描测试23.2效劳器信息收集2运行*权限测试2效劳器端口扫描23.2.3 方法测试23.2.4 PUT方法测试23.2.5 DELETE方法测试23.2.6 TRACE方法测试23.2.7 MOVE方法测试23.2.8 COPY方法测试2效劳器版本信息收集23.3文件、目录测试2工具方式的敏感接口遍历2方式的敏感接口查找2效劳器的控制台2目录列表测试2文件归档测试23.4认证测试2验证码测试
6、2认证错误提示2锁定策略测试2认证绕过测试2找回密码测试2修改密码测试23.4.7不平安的数据传输2强口令策略测试23.5会话管理测试2身份信息维护方式测试2存储方式测试2用户注销登陆的方式测试2注销时会话信息是否去除测试2会话超时时间测试2会话定置测试2会话标识携带2会话标识随机性测试23.6权限管理测试2横向测试2纵向测试2跨站伪造请求测试23.7文件上传下载测试2文件上传测试2文件下载测试23.8信息泄漏测试2连接数据库的*密码加密测试2客户端源代码敏感信息测试2客户端源代码注释测试2异常处理2页面测试2效劳器状态信息测试2不平安的存储23.9输入数据测试2注入测试2注入测试2语法注入2
7、命令执行测试2回车换行符CRLF注入测试2注入测试23.10跨站脚本测试2方式跨站脚本测试2方式跨站脚本测试2跨站脚本测试23.11逻辑测试23.12搜索引擎信息收集23.13Web Service测试23.14DWRDirect Web Remoting测试23.15HTML5平安测试2跨域资源共享测试2客户端存储平安测试2平安测试23.16FLASH平安配置测试23.17其他2日志审计2文件反编译测试2部署与管理测试2框架测试24APPSCAN测试覆盖项说明25附件25.1本规*所涉及的测试工具25.2HTML5新增标签2构造标签2多媒体标签2应用标签2其他标签2Web平安测试规*缩略语清
8、单缩略语全称CRLFrn回车换行LDAPLightweightDirectoryAccessProtocol 轻量级目录访问协议MMLman-machine language人机交互语言SessionID标志会话的IDWeb ServiceWeb效劳是一种面向效劳的架构的技术,通过标准的Web协议提供效劳,目的是保证不同平台的应用效劳可以互操作。SOAPSimple Object Access Protocol 简单对象访问协议*SSCross Site Scripting 跨站脚本CSRFCross Site Request Forgery 跨站请求伪造1 概述1.1 背景简介在Intern
9、et群众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破坏不断增多,在线平安面临日益严峻的挑战,平安风险到达了前所未有的高度。为了躲避Web平安风险、规*Web平安开发,公司已经制定并发布了Web 应用平安开发规*;但如何系统的进展Web平安性测试,目前缺少相应的理论和方法支撑。为此,我们制定Web 平安测试规*,本规*可让测试人员针对Web常见平安漏洞或攻击方式,系统的对被测Web系统进展快速平安性测试。1.2 适用读者本规*的读者及使用对象主要为Web相关的测试人员、开发人员、专职的平安测试评估人员等。1.3 适用*围本规*主要针对基于通用效劳器的Web应用系统,其他W
10、eb系统也可以参考,如基于嵌入式系统的Web维护接口等。如以下图例说明了一种典型的基于通用效劳器的Web应用系统:Web应用应用效劳器 Uniportal oss 客户端Web效劳器 IIS Apache 数据库效劳器 Oracle DB2 本规*中的方法以攻击性测试为主。除了覆盖业界常见的Web平安测试方法以外,也借鉴了一些业界最正确平安实践,涵盖Web平安开发规*的内容。1.4 平安测试在IPD流程中所处的位置一般建议在TR4前根据产品实现架构及平安需求,完成Web平安性测试需求分析和测试设计,准备好Web平安测试用例。在TR4版本正式转测试后,即可进展Web平安测试。如果产品质量不稳定,
11、前期功能性问题较多,则可适当推后Web平安测试执行,但最迟不得超过TR5。1.5 平安测试与平安风险评估的关系说明平安风险是指威胁利用脆弱性对目标系统造成平安影响的可能性及严重程度。其中威胁Threat是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。脆弱性(Vulnerability)也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性到达破坏系统平安运行的目的。本规*所描述的平安测试仅是平安风险评估中的一个活动,对应于平安风险评估过程中的脆弱性识别局部,特别是技术性的脆弱性识别。完整的平安风险评估过程、概念见GB/T 20984-
12、2007信息平安技术信息平安风险评估规*。1.6 考前须知l Web平安测试的执行,对于被测系统,或多或少都会存在一些影响比方性能、垃圾数据,建议只在测试环境中进展;如果一定要在现网运行环境中执行,则务必配置专门的测试数据,测试执行是应该非常慎重,只能修改或删除这些测试数据,制止修改、删除现网其他数据。l 本规*最主要目的是为了发现平安弱点,至于发现一个弱点以后更深一步的渗透测试在这里不会涉及。例如针对暴力破解测试,我们只给出验证存在暴力破解漏洞的可能,但不会提供暴力破解的方法。l 本文档中所有提及的测试工具的申请和使用,请遵循公司信息平安相关规定。l 如果是内部试验环境进展测试,可以考虑去除
13、一些防护措施或设备如防火墙,这样能保证发现问题的全面性。l 本文档根据最严格的方式对目标进展测试,如果产品线对平安的要求不高且有自身的平安策略规定时,可以视情况对测试项进展局部测试。例如密码策略测试项中,测试人员可以根据测试目标的密码位数要求进展测试,而不需要完全依照测试项里面规定的位数进展测试。1.7 测试用例级别说明一个平安漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:危害程度发生概率高中低高高高中中高中低低中低低表1 风险等级界定表本测试规*用例根据上面的定义分为四个测试级别:测试用例级别说明1根本:该类用例涉及可能导致风险程度为高的平安漏洞,在任何情况下都必须进展测试
14、。2重要:该类用例涉及可能导致风险程度为中的平安漏洞,在条件允许时间、人力充分情况下必须进展测试。3一般:该类用例涉及可能导致风险程度为低的平安漏洞,测试结果可能对其他测试有帮助。测试与否根据业务系统的重要性来判断。4生僻:该类用例涉及可能导致风险程度为极低的平安漏洞,攻击者只能收集到很少且无关紧要的信息。一般情况下不建议进展测试。表2 测试级别说明表2 测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比方用工具分析所有的请求及响应,以便测试人员掌握应用程序所有的接入点包括头,参数,cookies等;在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进展渗透测试,其可能造成的影响主要是数据破坏、拒绝效劳等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进展直接的数据交互,而
