测试(资料)网站类安全测试流程规范

网站安全测试  时间:2021-02-14  阅读:()

网站类安全测试指导文档

网站类安全测试流程规范

说明本文仅适用于国际站、 中文站和国际交易站

1 /29

网站类安全测试指导文档

2/29

网站类安全测试指导文档

目录

安全测试流程规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .1 定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .2角色和职责. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .3流程图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

1 .4安全测试必要性的评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

1 .5任务描述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

1 .6 自动化安全测试录制场景设计指导方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .7手工测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .8安全测试手工测试用例规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .9记录安全漏洞的规范性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .10主要产出物. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .1 1注意点说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Web安全漏洞简介及测试说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .12 XSS(Cross Site Script). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .13 CSRF(Cross-site Request Forgery). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

1 .14 SQL Injection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .15 URL Redirect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .16 AccessControl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

1 .17上传下载文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

2.7 Flash安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

自动化工具Hatirx介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .18自动化工具Hatirx. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .19 Hatirx工具使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

1 .20报表中信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

1 .21手动测试工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

3/29

网站类安全测试指导文档

1 .22安全工具的原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .23漏洞特征代码库在哪里. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .24 Hatrix工具注意事项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

安全测试分析举例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

4/29

网站类安全测试指导文档

安全测试流程规范

1.1定义

此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。

安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试。测试工程师目前主要采用两种方法做安全测试一种是采用自动化安全工具Hatrix扫描测试 自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection 一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证两者的区别主要就是针对的漏洞类型不同。

安全审核和安全测试区别在于安全审核属于白盒测试而安全测试属于黑盒测试两者并不能互相取代。两者的目的是一致的为了保证代码的安全性。但安全测试采用的是黑盒测试方案而安全审核是采用静态代码扫描的方案不考虑应用的逻辑仅仅关心代码本身的安全特性。并且只覆盖XSSCSRF和SQL Injection三种漏洞同时安全审核检测出的只是可疑点不一定就是漏洞是否是漏洞需要开发自己确定。所以安全审核的局限在于2点 1 无法覆盖URL Redirect和Access control漏洞。 2 无法最终确认漏洞。安全测试正好能够祢补安全审核的局限。

1.2角色和职责

5/29

网站类安全测试指导文档

1.3流程图

项目中安全测试流程图

小需求中安全测试流程图

6/29

网站类安全测试指导文档

1.4安全测试必要性的评估

1 、如何评估项目是否做安全测试

201 1年要求项目均需要做安全测试有特殊如底层数据迁移等 需与安全工程师评估是否要做安全测试并在《XXX项目安全测试传递清单》 中注明。

2、如何评估小需求是否做安全测试

Ao n e上安全测试评估选项 目前未集成 

7/29

网站类安全测试指导文档

说明在Aone上未集成该安全测试评估选项时暂且先用《小需求安全功能l ist模板》代替在小需求提测前交给PM/技术经理PM/技术经理进行各选项评估将该模板填好传递给QAQA再根据选项判断是否做安全测试。

1.5任务描述

8/29

网站类安全测试指导文档

9/29

DogYun(300元/月),韩国独立服务器,E5/SSD+NVMe

DogYun(中文名称狗云)新上了一批韩国自动化上架独立服务器,使用月减200元优惠码后仅需每月300元,双E5 CPU,SSD+NVMe高性能硬盘,支持安装Linux或者Windows操作系统,下单自动化上架。这是一家成立于2019年的国人主机商,提供VPS和独立服务器租用等产品,数据中心包括中国香港、美国洛杉矶、日本、韩国、德国、荷兰等。下面分享这款自动化上架韩国独立服务器的配置和优惠码信息。...

CUBECLOUD:香港服务器、洛杉矶服务器、全场88折,69元/月

CUBECLOUD(魔方云)成立于2016年,亚太互联网络信息中心(APNIC)会员,全线产品均为完全自营,专业数据灾备冗余,全部产品均为SSD阵列,精品网络CN2(GIA) CU(10099VIP)接入,与当今主流云计算解决方案保持同步,为企业以及开发者用户实现灵活弹性自动化的基础设施。【夏日特促】全场产品88折优惠码:Summer_2021时间:2021年8月1日 — 2021年8月8日香港C...

ParkinHost:俄罗斯离岸主机,抗投诉VPS,200Mbps带宽/莫斯科CN2线路/不限流量/无视DMCA/55折促销26.4欧元 /年起

外贸主机哪家好?抗投诉VPS哪家好?无视DMCA。ParkinHost今年还没有搞过促销,这次parkinhost俄罗斯机房上新服务器,母机采用2个E5-2680v3处理器、128G内存、RAID10硬盘、2Gbps上行线路。具体到VPS全部200Mbps带宽,除了最便宜的套餐限制流量之外,其他的全部是无限流量VPS。ParkinHost,成立于 2013 年,印度主机商,隶属于 DiggDigi...

网站安全测试为你推荐
推广方法产品如何做推广天府热线劲舞团 四川 天府热线 在哪改密码?选择大区怎么没天府?godaddyGodaddy域名怎么接受网站优化方案几种常用的网站优化方法发邮件怎么发怎么发邮箱网站地图制作如何制作网站地图sitemap,经验分享淘宝软文范例今天算自己能弄出来一段2500字的软文了,好不容易啊!各位大神如何写软文呢?厦门铁通厦门铁通宽带可以免费升级到2m么?腾讯免费升级win10腾讯免费升级win10怎么变回来360网络测速器为什么一用360网络测速器测过之后电脑就不能上网?应该说是:可以访问无线路由,不能看网页,登录QQ!
域名停靠 南通服务器租用 免费申请域名 中国域名交易中心 x3220 BWH l5520 宕机监控 60g硬盘 国外php空间 网站挂马检测工具 免费个人空间申请 dux 什么是刀片服务器 吉林铁通 常州联通宽带 备案空间 河南移动梦网 中国电信测速网站 网站防护 更多