Web平安测试标准
Web应用平安测试标准
内部公开
DKBA
DKBA 2355-
红黑联盟收集整理
51
Web效劳器状态信息测试 52
不平安的存储
文档名称
文档密级
53
输入数据测试 53
SQL注入测试 53
MML语法注入 55
命令执行测试 56
跨站脚本攻击测试 56
GET方式跨站脚本测试 56
POST方式跨站脚本测试 57
逻辑测试 58
搜索引擎信息收集 59
Web Service测试 59
其他 62
class文件反编译测试 62
4 AppScan测试覆盖项说明 63
5 附件 64
本标准所涉及的测试工具 64
Web平安
文档名称
文档密级
测试标准
缩略语清单
缩略语
全称
CRLF
\r\n回车换行
LDAP
Lightweight Directory Access Protocol 轻量级目录访问协议
MML
man-machine language 人机交互语言
SessionID
标志会话的ID
Web Service
Web效劳是一种面向效劳的架构的技术,通过标准的Web协议提供效劳,目的是保证不同平台的应用效劳可以互操作。
SOAP
Simple Object Access Protocol 简单对象访问协议
XFS
Cross Frame Script 跨帧脚本
XSS
Cross Site Script 跨站脚本
文档名称
文档密级
概述
背景简介
在Internet群众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破坏不断增多,在线平安面临日益严峻的挑战,平安风险到达了前所未有的高度。
为了躲避Web平安风险、标准Web平安开发,公司已经制定并发布了?Web 应用平安开发标准?;但如何系统的进行Web平安性测试,目前缺少相应的理论和方法支撑。为此,我们制定?Web 平安测试标准?,本标准可让测试人员针对Web常见平安漏洞或攻击方式,系统的对被测Web系统进行快速平安性测试。
适用读者
本标准的读者及使用对象主要为Web相关的测试人员、开发人员、专职的平安测试评估人员等。
适用范围
本标准主要针对基于通用效劳器的Web应用系统,其他Web系统也可以参考,如基于嵌入式系统的Web维护接口等。
文档名称
文档密级
如以下图例说明了一种典型的基于通用效劳器的Web应用系统:
Web应用
应用效劳器
Uniportal
JBoss
……
客户端
Web效劳器
IIS
Apache
……
数据库效劳器
Oracle
DB2
……
本标准中的方法以攻击性测试为主。除了覆盖业界常见的Web平安测试方法以外,也借鉴了一些业界最正确平安实践,涵盖Web平安开发标准的内容。
平安测试在IPD流程中所处的位置
一般建议在TR4前根据产品实现架构及平安需求,完成Web平安性测试需求分析和测试设计,准备好Web平安测试用例。
文档名称
文档密级
在TR4版本正式转测试后,即可进行Web平安测试。如果产品质量不稳定,前期功能性问题较多,那么可适当推后Web平安测试执行,但最迟不得超过TR5。
平安测试与平安风险评估的关系说明
平安风险是指威胁利用脆弱性对目标系统造成平安影响的可能性及严重程度。其中威胁〔Threat〕是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。脆弱性(Vulnerability)也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性到达破坏系统平安运行的目的。
本标准所描述的平安测试仅是平安风险评估中的一个活动,对应于平安风险评估过程中的脆弱性识别局部,特别是技术性的脆弱性识别。
完整的平安风险评估过程、概念见GB/T 20984-2023?信息平安技术 信息平安风险评估标准?。
文档名称
文档密级
考前须知
Web平安测试的执行,对于被测系统,或多或少都会存在一些影响〔比方性能、垃圾数据〕,建议只
【最新】web安全测试规范 来自淘豆网m.daumloan.com转载请标明出处.
