《Web安全系统测试要求规范V1.2.1》由会员分享,可在线阅读,更多相关《Web安全系统测试要求规范V1.2.1(59页珍藏版)》请在金锄头文库上搜索。
1、wordDKBA华为技术某某内部技术规XWeb应用安全测2009年7月5日发布 2009年7月5日实施华为技术某某Huawei Technologies Co., Ltd.所有 侵权必究All rights reserved / 修订声明Revision declaration本规X拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规X的相关系列规X或文件:Web应用安全开发规X相关国际规X或文件一致性:OWASP Testing Guide v3信息安全技术信息安全风险评估指南Information technology Security t
2、echniques Management of information and munications technology securityISO 13335替代或作废的其它规X或文件:无相关规X或文件的相互关系:本规X以Web应用安全开发规X为根底、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况安全解决方案:赵武、吕晓雨56987、王欢00104062业务与软件测试部系统部:孟咏喜00137435安全解决方案:X海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、X顶峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部:X
3、喆核心网:车广芳、苏三、X京、冻良何伟祥33428X顶峰、吴宇翔、杨光磊、王欢、胡坤红、X伟、孟咏喜、成庆华、黎迎斌、周鹏、X喆、文某某、X理、姜永章、苏燕鲁目 录 Table of Contents1概述7背景简介7适用读者7适用X围7安全测试在IPD流程中所处的位置8安全测试与安全风险评估的关系说明8须知事项9测试用例级别说明92测试过程示意图103WEB安全测试规X11自动化Web漏洞扫描工具测试113.1.1AppScan application扫描测试123.1.2AppScan Web Service 扫描测试13服务器信息收集13运行某某权限测试13服务器端口扫描14方法测试14
4、3.2.4 PUT方法测试153.2.5 DELETE方法测试163.2.6 TRACE方法测试173.2.7 MOVE方法测试173.2.8 COPY方法测试18服务器版本信息收集19文件、目录测试20工具方式的敏感接口遍历20方式的敏感接口查找22服务器的控制台23目录列表测试24文件归档测试27认证测试28验证码测试28认证错误提示29锁定策略测试29认证绕过测试30找回密码测试31修改密码测试31不安全的数据传输32强口令策略测试33会话管理测试35身份信息维护方式测试35存储方式测试35用户注销登陆的方式测试36注销时会话信息是否去除测试36会话超时时间测试37会话定置测试38权限管
5、理测试39横向测试40纵向测试41文件上传下载测试46文件上传测试46文件下载测试47信息泄漏测试48连接数据库的某某密码加密测试48客户端源代码敏感信息测试49客户端源代码注释测试49异常处理50页面测试51服务器状态信息测试52不安全的存储53输入数据测试53注入测试53语法注入55命令执行测试56跨站脚本攻击测试56方式跨站脚本测试56方式跨站脚本测试57逻辑测试58搜索引擎信息收集593.13Web Service测试59其他62文件反编译测试624APPSCAN测试覆盖项说明635附件64本规X所涉与的测试工具64Web安全测试规X缩略语清单缩略语全称CRLFrn回车换行LDAPLi
6、ghtweightDirectoryAccessProtocol 轻量级目录访问协议MMLman-machine language 人机交互语言SessionID标志会话的IDWeb ServiceWeb服务是一种面向服务的架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。SOAPSimple Object Access Protocol 简单对象访问协议XFSCross Frame Script 跨帧脚本XSSCross Site Script 跨站脚本1 概述1.1 背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普与的今天,针对Web的攻
7、击和破坏不断增多,在线安全面临日益严峻的挑战,安全风险达到了前所未有的高度。为了躲避Web安全风险、规XWeb安全开发,公司已经制定并发布了Web 应用安全开发规X;但如何系统的进展Web安全性测试,目前缺少相应的理论和方法支撑。为此,我们制定Web 安全测试规X,本规X可让测试人员针对Web常见安全漏洞或攻击方式,系统的对被测Web系统进展快速安全性测试。1.2 适用读者本规X的读者与使用对象主要为Web相关的测试人员、开发人员、专职的安全测试评估人员等。1.3 适用X围本规X主要针对基于通用服务器的Web应用系统,其他Web系统也可以参考,如基于嵌入式系统的Web维护接口等。如如下图例说明
8、了一种典型的基于通用服务器的Web应用系统:Web应用应用服务器 Uniportal oss 客户端Web服务器 IIS Apache 数据库服务器 Oracle DB2 本规X中的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最优安全实践,涵盖Web安全开发规X的内容。1.4 安全测试在IPD流程中所处的位置一般建议在TR4前根据产品实现架构与安全需求,完成Web安全性测试需求分析和测试设计,准备好Web安全测试用例。在TR4版本正式转测试后,即可进展Web安全测试。如果产品质量不稳定,前期功能性问题较多,如此可适当推后Web安全测试执行,但最迟不得超过TR
9、5。1.5 安全测试与安全风险评估的关系说明安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性与严重程度。其中威胁Threat是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。脆弱性(Vulnerability)也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性达到破坏系统安全运行的目的。本规X所描述的安全测试仅是安全风险评估中的一个活动,对应于安全风险评估过程中的脆弱性识别局部,特别是技术性的脆弱性识别。完整的安全风险评估过程、概念见GB/T 20984-2007信息安全技术信息安全风险评估规X。1.6 须知事项l Web安
10、全测试的执行,对于被测系统,或多或少都会存在一些影响比如性能、垃圾数据,建议只在测试环境中进展;如果一定要在现网运行环境中执行,那么务必配置专门的测试数据,测试执行是应该非常慎重,只能修改或删除这些测试数据,禁止修改、删除现网其他数据。l 本规X最主要目的是为了发现安全弱点,至于发现一个弱点以后更深一步的渗透测试在这里不会涉与。例如针对暴力破解测试,我们只给出验证存在暴力破解漏洞的可能,但不会提供暴力破解的方法。l 本文档中所有提与的测试工具的申请和使用,请遵循公司信息安全相关规定。l 如果是内部试验环境进展测试,可以考虑去除一些防护措施或设备如防火墙,这样能保证发现问题的全面性。l 本文档根
11、据最严格的方式对目标进展测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进展局部测试。例如密码策略测试项中,测试人员可以根据测试目标的密码位数要求进展测试,而不需要完全依照测试项里面规定的位数进展测试。1.7 测试用例级别说明一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:危害程度发生概率高中低高高高中中高中低低中低低 表1 风险等级界定表本测试规X用例根据上面的定义分为四个测试级别:测试用例级别说明1根本:该类用例涉与可能导致风险程度为高的安全漏洞,在任何情况下都必须进展测试。2重要:该类用例涉与可能导致风险程度为中的安全漏洞,在条件允许时
12、间、人力充沛情况下必须进展测试。3一般:该类用例涉与可能导致风险程度为低的安全漏洞,测试结果可能对其他测试有帮助。测试与否根据业务系统的重要性来判断。4生僻:该类用例涉与可能导致风险程度为极低的安全漏洞,攻击者只能收集到很少且无关紧要的信息。一般情况下不建议进展测试。 表2 测试级别说明表2 测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的请求与响应,以便测试人员掌握应用程序所有的接入点包括头,参数,cookies等;在主动模式中,测试人员试图以黑客的身份来对应用与其系统、后台等进展渗透测试,其可能造成的影响主要是数据破坏、拒
13、绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进展直接的数据交互,而被动测试不需要。造成的影响主动模式被动模式 初始化 完成Web结构获取权限测试归档测试参数分析异常处理注入测试命令执行文件包含跨站脚本信息窃取备份文件后台查找目录列表会话管理信息泄漏数据破坏拒绝服务信息获取熟悉业务逻辑Google Hacking接口测试认证测试暴力破解认证绕过逻辑处理越权操作身份仿冒日志检查拒绝服务上传下载3 Web安全测试规X3.1 自动化Web漏洞扫描工具测试自动化扫描工具只能检测到局部常见的漏洞如跨站脚本、SQL注入等,不是
14、针对用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。Web目前分为application和Web service两局部。Application指通常意义上的Web应用,而Web service是一种面向服务的架构的技术,通过标准的Web协议如、XML、SOAP、WSDL提供服务。3.1.1 AppScan application扫描测试编号SEC_Web_TOOL_01测试用例名称AppScan application 扫描测试测试目的利用自动化的Web安全扫描工具AppScan进展扫描,以发现Web应用中存在的常见漏洞用例级别1测试条件1、 Web服务器域名或IP地址2、 Web业务运行正常3、 测试用机上安装了AppScan执行步骤1、 双击运行AppScan,选择filenew新建扫
