文档名称 文档密级
5、 在html源代码中查看是否存在着可能为密码的数据,如果是,说明存在漏洞 6、 用户的密码一般通过用户邮箱或者手机短信的方式来通知用户,如果在返回的Web页面直接显示明文口令,则说明存在漏洞。 预期结果 备注 测试结果 密码找回不存在漏洞 3.4.6 修改密码测试
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_ AUTHEN_06 修改密码测试 如果修改密码功能存在着缺陷,攻击者可以通过此其缺陷修改其他用户的密码。 1 1、 已知Web网站地址 2、 Web业务正常运行 3、 网站提供修改密码的功能 4、 已知某正确的用户账号 执行步骤 1、 登陆网站 2、 进入密码修改页面 3、 查看是否必须提交正确旧密码,如果不需要则存在漏洞 4、 填写并提交修改密码数据,并以WebScarab拦截修改密码请求,观察新旧密码是否通过同一个HTTP请求提交到服务器,如果不是则存在漏洞; 5、 观察是否客户端是否提交用户名或用户ID,如果是则修改为其他用户名或用户ID,看看是否能够成功修改其他用户的密码,如果可以则存在漏洞。 预期结果 备注 用户修改密码时必须提供旧密码,普通用户无法修改其他用户的密码。 如果初始口令为系统提供的默认口令、或者是由管理员设定时,则在用户/操作员使用初始口令成功登录后,系统必须强制用户/操作员更改初始口令,直至更改成功,否则是漏洞。 测试结果 3.4.7 不安全的数据传输
编号 测试用例名称 2013-8-9
SEC_Web_ AUTHEN_07 登陆过程信息机密性保护 华为机密,未经许可不得扩散
第31页, 共63页
测试目的 用例级别 测试条件 文档名称 文档密级
测试Web程序在处理登录过程中用户名和口令的传输是否采用了加密传输的机制。 1 1、 已知Web网站地址 2、 Web业务正常运行 3、 Web业务存在登陆认证模块 执行步骤 1、 已知网站登录地址为:http://www.exmaple.com/login.xxx 2、 开启WebScarab,配置对GET和POST请求进行拦截;在浏览器中配置代理服务器IP为127.0.0.1,端口为8008 3、 在登录处输入用户名和口令、验证码登陆 4、 查看WebScarab拦截的请求中,用户名和口令是否采用HTTPS协议传输。 预期结果 备注 测试结果 用户名和密码信息采用HTTPS传输。 参考Web应用安全开发规范章节3.5.3 敏感数据传输
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_ AUTHEN_09 修改密码信息机密性保护 测试Web程序在修改密码过程中用户名和口令的传输是否采用了加密传输的机制。 2 1、 已知Web网站地址 2、 Web业务正常运行 3、 Web业务存在修改密码的功能 执行步骤 1、 登陆Web网站 2、 找到修改密码的页面 3、 输入旧密码和新密码并提交 4、 并观察数据传输是否采用HTTPS方式 预期结果 备注 用户名和密码信息采用HTTPS传输。 创建用户时如果包含密码也应该HTTPS传输。 参考Web应用安全开发规范章节3.5.3 敏感数据传输 测试结果 2013-8-9
华为机密,未经许可不得扩散 第32页, 共63页
文档名称 文档密级
3.4.8 强口令策略测试
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_ AUTHEN_08 强口令策略测试 本测试为检查目标系统是否存在强口令策略。 2 1、 已知Web网站地址 2、 Web业务运行正常 3、 Web业务存在帐号管理 4、 已知正常用户的用户、口令 5、 存在口令修改页面 执行步骤 1、 使用正确的用户、口令登陆Web业务系统 2、 打开口令修改页面 3、 在新口令输入框中输入字母加数字的5位字符(如ab123)作为密码并提交,如果未提示“口令长度过短”等诸如此类的信息,说明存在弱点,完成测试。 4、 在新口令输入框中输入6位数字(如123456)作为密码并提交,如果未提示 “口令字符需要大小写” 等诸如此类的信息,说明存在弱点,完成测试。 5、 观察结果 预期结果 备注 目标系统存在满足上述步骤的较严格的口令复杂度策略。 上面只是举例说明口令复杂度的测试,实际上强口令策略还包括口令有效期、历史口令等,这些都要测试。 对于一些Web应用(如移动网上客服系统)密码只能是数字组成,则不强制要求强口令。 Web应用安全开发规范中的强口令策略: 规则3.2.1.1:口令长度的取值范围为:0-32 个字符;口令的最短长度和最长长度可配置;口令的最短长度建议默认为6个字符。 规则3.2.1.2:口令中至少需要包括一个大写字母(A-Z)、一个小写字母(a-z)、一个数字字符(0-9);口令是否包含特殊字符要求可以配置。 规则3.2.1.3:口令中允许同一字符连续出现的最大次数可配置,取值范围:0-9,当取值为 0 时,表示无限制,建议默认为 3。 规则3.2.1.4:口令须设置有效期,最短有效期的取值范围:0-9999 分钟,当取值为0时,表示不做限制,建议默认:5 分钟;最长有效期的取值范围:0-999 天,当取值为 0 时,表示口令永久有效,建议默认:90 天。 规则3.2.1.5:在口令到期前,当用户登录时系统须进行提示,提前提示的天数可配置,取值范围:1-99 天,建议默认:7 天。 规则3.2.1.6:口令到达最长有效期后,用户再次登录成功但在进入系统前,系统强制更改口令,直至更改成功。 规则3.2.1.7:口令历史记录数可配置,取值范围为:0-30;建议默认:3个。 规则3.2.1.8:管理员/操作员/最终用户修改自己的口令时,必须提供旧口令。 2013-8-9
华为机密,未经许可不得扩散
第33页, 共63页
文档名称 文档密级
规则3.2.1.9:初始口令为系统提供的默认口令、或者是由管理员设定时,则在用户/操作员使用初始口令成功登录后,要强制用户/操作员更改初始口令,直至更改成功。 规则3.2.1.10:口令不能以明文的形式在界面上显示。 规则3.2.1.11:口令不能以明文的形式保存,须加密保存;口令与用户名关联加密,即加密前的数据不仅包括口令,还包括用户名。 规则3.2.1.12:只有当用户通过认证之后才可以修改口令。 规则3.2.1.13:修改口令的帐号只能从服务器端的会话信息中获取,而不能由客户端指定。 建议3.2.1.1:实现弱口令词典功能。 测试结果 3.5 会话管理测试
3.5.1 身份信息维护方式测试
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_SESSION_01 身份信息维护方式测试 发现目标系统是否采用参数来进行身份判断。 1 1、 已知Web网站地址 2、 Web业务正常运行 3、 Web业务存在不同级别的权限(角色) 执行步骤 1、 登录系统 2、 配置WebScarab进行http get和post请求拦截 3、 请求Web页面 4、 在WebScarab中查看请求报文 5、 检查请求消息中是否携带了与用户身份相关的数据。如果有,修改身份信息。如果服务器端以修改后的身份进行操作,则说明存在漏洞,完成测试。 预期结果 用户登陆后,身份信息不再由客户端提交,而是以服务器端会话信息中保存的身份信息为准。 备注 测试结果 3.5.2 Cookie存储方式测试
编号 2013-8-9
SEC_Web_ SESSION_02 华为机密,未经许可不得扩散
第34页, 共63页
测试用例名称 测试目的 文档名称 文档密级
Cookie存储方式测试 某些Web应用将SesssionId放到了URL中进行传输,攻击者能够诱使被攻击者访问特定的资源,例如图片。在被攻击者查看资源时获取该SessionID(在HTTP协议中Referer标题头中携带了来源地址),从而导致身份盗用。 用例级别 测试条件 1 1、 已知Web网站地址 2、 Web业务运行正常 3、 Web业务存在登陆认证模块 4、 已知正确的用户名、口令 执行步骤 1、 登录系统。 2、 请求不同的业务应用 3、 观察URL。 预期结果 备注 测试结果 URL中没有携带Session ID信息(可能是sid,JSESSIONID等形式)。 3.5.3 用户注销登陆的方式测试
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_ SESSION_03 用户注销登陆的方式测试 查看是否提供注销登陆功能 1 1、 已知Web网站地址 2、 Web业务运行正常 3、 Web业务存在登陆认证模块 4、 已知正确的用户名、口令 执行步骤 1、 使用正常的用户、口令登录系统。 2、 查找登陆后的所有页面中是否存在明确的“退出”或“注销”(或类似)的按钮或者链接 预期结果 备注 测试结果 登陆后的页面中有明确的“退出”或“注销”按钮。 2013-8-9
华为机密,未经许可不得扩散 第35页, 共63页