DKBA
华为技术有限公司内部技术规范
DKBA 2355-2009.7
Web应用安全测试规范V1.2
2009年7月5日发布 2009年7月5日实施
华为技术有限公司 Huawei Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
文档名称 文档密级
修订声明Revision declaration
本规范拟制与解释部门:
安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部
本规范的相关系列规范或文件:
《Web应用安全开发规范》 相关国际规范或文件一致性:
《OWASP Testing Guide v3》
《信息安全技术信息安全风险评估指南》
《Information technology Security techniques Management of information and communications technology security》-ISO 13335 替代或作废的其它规范或文件:
无
相关规范或文件的相互关系:
本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 主要起草部门专家 主要评审部门专家 修订情况 安全解决方案:赵武、吕晓安全解决方案:刘海军、吴宇翔、 雨56987、王欢00104062 吴海翔、杨光磊、宋柳松、梁业金、姜凡 业务与软件测试部系统部:孟咏喜00137435 业务与软件:何伟祥、刘高峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰 网络解决方案验证部:张喆 核心网:车广芳、苏三、刘京、冻良 V1.2 何伟祥33428 刘高峰、吴宇翔、杨光磊、王欢、增加Web Service、胡坤红、张伟、孟咏喜、成庆华、上传、下载、控制黎迎斌、周鹏、张喆、文桂林、台等方面的测试规张理、姜永章、苏燕鲁 范,更正V1.1一些描述不准确的测试项
2013-8-9
华为机密,未经许可不得扩散
第2页, 共63页
文档名称 文档密级
目 录 Table of Contents
1 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2 3 3.1
概述 ......................................................................................................................................... 7 背景简介 ................................................................................................................................. 7 适用读者 ................................................................................................................................. 7 适用范围 ................................................................................................................................. 7 安全测试在IPD流程中所处的位置 ....................................................................................... 8 安全测试与安全风险评估的关系说明 .................................................................................. 8 注意事项 ................................................................................................................................. 9 测试用例级别说明 ................................................................................................................. 9 测试过程示意图 ................................................................................................................... 10 WEB安全测试规范 .............................................................................................................. 11 自动化WEB漏洞扫描工具测试............................................................................................ 11
3.1.1 AppScan application扫描测试 ................................................................ 12 3.1.2 AppScan Web Service 扫描测试 ........................................................... 13
3.2
服务器信息收集 ................................................................................................................... 13
3.2.1 运行帐号权限测试 ..................................................................................... 13 3.2.2 Web服务器端口扫描 ................................................................................. 14 3.2.3 HTTP方法测试 .......................................................................................... 14 3.2.4 HTTP PUT方法测试 ................................................................................. 15 3.2.5 HTTP DELETE方法测试 .......................................................................... 16 3.2.6 HTTP TRACE方法测试 ............................................................................ 17 3.2.7 HTTP MOVE方法测试.............................................................................. 17 3.2.8 HTTP COPY方法测试 .............................................................................. 18 3.2.9 Web服务器版本信息收集 ......................................................................... 19
3.3
文件、目录测试 ................................................................................................................... 20
3.3.1 工具方式的敏感接口遍历 ......................................................................... 20 3.3.2 Robots方式的敏感接口查找 .................................................................... 22
2013-8-9
华为机密,未经许可不得扩散
第3页, 共63页
文档名称 文档密级
3.3.3 Web服务器的控制台 ................................................................................. 23 3.3.4 目录列表测试 ............................................................................................. 24 3.3.5 文件归档测试 ............................................................................................. 26
3.4
认证测试 ............................................................................................................................... 27
3.4.1 验证码测试 ................................................................................................. 27 3.4.2 认证错误提示 ............................................................................................. 28 3.4.3 锁定策略测试 ............................................................................................. 29 3.4.4 认证绕过测试 ............................................................................................. 30 3.4.5 找回密码测试 ............................................................................................. 30 3.4.6 修改密码测试 ............................................................................................. 31 3.4.7 不安全的数据传输 ..................................................................................... 31 3.4.8 强口令策略测试 ......................................................................................... 33
3.5
会话管理测试 ....................................................................................................................... 34
3.5.1 身份信息维护方式测试 ............................................................................. 34 3.5.2 Cookie存储方式测试 ................................................................................ 34 3.5.3 用户注销登陆的方式测试 ......................................................................... 35 3.5.4 注销时会话信息是否清除测试 ................................................................. 36 3.5.5 会话超时时间测试 ..................................................................................... 36 3.5.6 会话定置测试 ............................................................................................. 37
3.6
权限管理测试 ....................................................................................................................... 38
3.6.1 横向测试 ..................................................................................................... 39 3.6.2 纵向测试 ..................................................................................................... 40
3.7
文件上传下载测试 ............................................................................................................... 45
3.7.1 文件上传测试 ............................................................................................. 45 3.7.2 文件下载测试 ............................................................................................. 46
3.8
信息泄漏测试 ....................................................................................................................... 48
3.8.1 连接数据库的帐号密码加密测试 ............................................................. 48 3.8.2 客户端源代码敏感信息测试 ..................................................................... 48 3.8.3 客户端源代码注释测试 ............................................................................. 49
2013-8-9
华为机密,未经许可不得扩散
第4页, 共63页
文档名称 文档密级
3.8.4 异常处理 ..................................................................................................... 49 3.8.5 HappyAxis.jsp页面测试............................................................................ 51 3.8.6 Web服务器状态信息测试 ......................................................................... 52 3.8.7 不安全的存储 ............................................................................................. 52
3.9
输入数据测试 ....................................................................................................................... 52
3.9.1 SQL注入测试 ............................................................................................. 53 3.9.2 MML语法注入 ............................................................................................ 54 3.9.3 命令执行测试 ............................................................................................. 55
3.10 跨站脚本攻击测试 ............................................................................................................... 56
3.10.1 GET方式跨站脚本测试 ........................................................................... 56 3.10.2 POST方式跨站脚本测试 ........................................................................ 57
3.11 逻辑测试 ............................................................................................................................... 58 3.12 搜索引擎信息收集 ............................................................................................................... 58 3.13 WEB SERVICE测试 ................................................................................................................ 58 3.14 其他 ....................................................................................................................................... 61
3.14.1 class文件反编译测试 .............................................................................. 61
4 5 5.1
APPSCAN测试覆盖项说明 ................................................................................................ 62 附件 ....................................................................................................................................... 63 本规范所涉及的测试工具 ................................................................................................... 63
2013-8-9
华为机密,未经许可不得扩散 第5页, 共63页