安全测试 WEB安全测试手册

概述...  3

Ø           目的.  3

Ø           适用读者.  3

Ø           适用范围.  3

Ø           注意事项.  4

Ø           测试级别说明.  4

Ø           测试过程示意图.  4

1.              服务器信息收集...  5

1.1       运行帐号权限测试.  5

1.2      Web服务器端口扫描.  6

1.3      HTTP方法测试.  6

1.4      HTTP PUT方法测试.  7

1.5      HTTP DELETE方法测试.  7

1.6      HTTP TRACE方法测试.  8

1.7      HTTP MOVE方法测试.  9

1.8      HTTP COPY方法测试.  10

1.9      Web服务器版本信息收集.  10

2.              文件、目录测试...  11

2.1       工具方式的敏感接口遍历.  11

2.2      Robots方式的敏感接口查找.  11

2.3      Web服务器的控制台.  12

2.4       目录列表测试.  13

2.5       文件归档测试.  14

3.              认证测试...  15

3.1       验证码测试.  15

3.2       认证错误提示.  16

3.3       锁定策略测试.  16

3.4       认证绕过测试.  16

3.5       找回密码测试.  17

3.6       修改密码测试.  18

3.7       不安全的数据传输.  18

a)          登录过程信息机密性保护.  18

b)          修改密码信息机密性保护.  18

3.8       强口令策略测试.  19

a)          注册用户强口令策略.  19

b)          修改用户密码强口令策略.  19

c)          找回用户密码强口令策略.  19

4.              会话管理测试...  20

4.1       用户注销登陆的方式测试.  20

4.2       注销时会话信息是否清除测试.  20

4.3       会话超时时间测试.  21

4.4       会话定置(session fixation)测试.  22

4.5       会话标识携带.  22

4.6       会话cookie httponly属性设置.  22

4.7      Cookie敏感信息检测.  23

4.8      Cookie防篡改验证.  24

4.9      Cookie过期时间检测.  24

5.              权限管理测试...  25

5.1       横向越权操作测试.  25

5.2       纵向越权操作测试.  26

6.              文件上传下载测试...  27

6.1       文件上传测试.  27

6.2       文件下载测试.  29

7.              信息泄漏测试...  30

7.1       连接数据库的帐号密码加密测试.  30

7.2       客户端源代码敏感信息测试.  31

7.3       客户端源代码注释测试.  31

7.4       异常处理测试.  31

7.4.1  不存在的URL导致信息泄漏.  31

7.4.2  非法字符导致信息泄漏.  32

7.4.3  逻辑错误信息泄漏.  32

7.5      HappyAxis.jsp页面测试.  32

7.6      Web服务器状态信息测试.  33

7.7       不安全的存储.  33

a)              服务器安全测试...  33

b)              日志文件测试...  33

c)              敏感数据存储测试...  34

7.8      XML外部实体注入.  34

8.              输入数据测试...  36

8.1       输入数据校验测试1(get请求)  36

8.2       输入数据校验测试2(post请求)  36

8.3       手工sql注入测试.  37

8.4       自动化工具sql注入测试.  39

8.5       命令执行测试.  39

8.6       重定向测试.  39

9.              跨站脚本攻击(XSS)测试...  40

9.1      GET方式跨站脚本测试.  40

9.2      POST方式跨站脚本测试.  41

9.3       利用工具自动化测试.  41

10.            CSRF跨站请求伪造测试...  41

11.            业务流程(需求)测试...  43

12.            搜索引擎信息收集...  44

11.1    搜索引擎信息发现和侦察.  44

11.2    审核web服务器元文件发现信息泄露.  44

13.            Web Service测试...  46

12.1    自动化测试.  46

12.2    手动测试.  54

14.            DWR（Direct Web Remoting）测试...  55

15.            其它...  56

15.1         日志审计...  56

15.2         class文件反编译测试...  56

...  55