测试(资料)网站类安全测试流程规范
网站类安全测试指导文档
网站类安全测试流程规范
说明本文仅适用于国际站、 中文站和国际交易站
1 /29
网站类安全测试指导文档
2/29
网站类安全测试指导文档
目录
安全测试流程规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1 .1 定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1 .2角色和职责. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1 .3流程图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
1 .4安全测试必要性的评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
1 .5任务描述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
1 .6 自动化安全测试录制场景设计指导方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1
1 .7手工测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1
1 .8安全测试手工测试用例规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1
1 .9记录安全漏洞的规范性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
1 .10主要产出物. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
1 .1 1注意点说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Web安全漏洞简介及测试说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
1 .12 XSS(Cross Site Script). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
1 .13 CSRF(Cross-site Request Forgery). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1 .14 SQL Injection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1 .15 URL Redirect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1 .16 AccessControl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
1 .17上传下载文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
2.7 Flash安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
自动化工具Hatirx介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
1 .18自动化工具Hatirx. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
1 .19 Hatirx工具使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
1 .20报表中信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
1 .21手动测试工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
3/29
网站类安全测试指导文档
1 .22安全工具的原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1 .23漏洞特征代码库在哪里. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1 .24 Hatrix工具注意事项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
安全测试分析举例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
4/29
网站类安全测试指导文档
安全测试流程规范
1.1定义
此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。
安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试。测试工程师目前主要采用两种方法做安全测试一种是采用自动化安全工具Hatrix扫描测试 自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection 一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证两者的区别主要就是针对的漏洞类型不同。
安全审核和安全测试区别在于安全审核属于白盒测试而安全测试属于黑盒测试两者并不能互相取代。两者的目的是一致的为了保证代码的安全性。但安全测试采用的是黑盒测试方案而安全审核是采用静态代码扫描的方案不考虑应用的逻辑仅仅关心代码本身的安全特性。并且只覆盖XSSCSRF和SQL Injection三种漏洞同时安全审核检测出的只是可疑点不一定就是漏洞是否是漏洞需要开发自己确定。所以安全审核的局限在于2点 1 无法覆盖URL Redirect和Access control漏洞。 2 无法最终确认漏洞。安全测试正好能够祢补安全审核的局限。
1.2角色和职责
5/29
网站类安全测试指导文档
1.3流程图
项目中安全测试流程图
小需求中安全测试流程图
6/29
网站类安全测试指导文档
1.4安全测试必要性的评估
1 、如何评估项目是否做安全测试
201 1年要求项目均需要做安全测试有特殊如底层数据迁移等 需与安全工程师评估是否要做安全测试并在《XXX项目安全测试传递清单》 中注明。
2、如何评估小需求是否做安全测试
Ao n e上安全测试评估选项 目前未集成
7/29
网站类安全测试指导文档
说明在Aone上未集成该安全测试评估选项时暂且先用《小需求安全功能l ist模板》代替在小需求提测前交给PM/技术经理PM/技术经理进行各选项评估将该模板填好传递给QAQA再根据选项判断是否做安全测试。
1.5任务描述
8/29
网站类安全测试指导文档
9/29
- 测试(资料)网站类安全测试流程规范相关文档
- 项目网站安全测试
- 供应商网站安全测试
- 网站网站的测试维护及安全防护
- 如有XX网站安全测试方案
- 文件网站安全测试报告
- 检测某网站安全测试方案
atcloud:480G超高防御VPS低至$4/月,美国/新加坡等6机房,512m内存/1核/500g硬盘/不限流量
atcloud主要提供常规cloud(VPS)和storage(大硬盘存储)系列VPS,其数据中心分布在美国(俄勒冈、弗吉尼亚)、加拿大、英国、法国、德国、新加坡,所有VPS默认提供480Gbps的超高DDoS防御+不限流量,杜绝DDoS攻击骚扰,比较适合海外建站等相关业务。ATCLOUD.NET是一家成立于2020年的海外主机商,主要提供KVM架构的VPS产品、LXC容器化产品、权威DNS智能解...
木木云35元/月,美国vps服务器优惠,1核1G/500M带宽/1T硬盘/4T流量
木木云怎么样?木木云品牌成立于18年,此为贵州木木云科技有限公司旗下新运营高端的服务器的平台,目前已上线美国中部大盘鸡,母鸡采用E5-267X系列,硬盘全部组成阵列。目前,木木云美国vps进行了优惠促销,1核1G/500M带宽/1T硬盘/4T流量,仅35元/月。点击进入:木木云官方网站地址木木云优惠码:提供了一个您专用的优惠码: yuntue目前我们有如下产品套餐:DV型 1H 1G 500M带宽...
ShockHosting($4.99/月),东京机房 可享受五折优惠,下单赠送10美金
ShockHosting商家在前面文章中有介绍过几次。ShockHosting商家成立于2013年的美国主机商,目前主要提供虚拟主机、VPS主机、独立服务器和域名注册等综合IDC业务,现有美国洛杉矶、新泽西、芝加哥、达拉斯、荷兰阿姆斯特丹、英国和澳大利亚悉尼七大数据中心。这次有新增日本东京机房。而且同时有推出5折优惠促销,而且即刻使用支付宝下单的话还可获赠10美金的账户信用额度,折扣相比之前的常规...
-
绵阳电信绵阳电信宽带怎么收费的51自学网站有哪些免费自学网公章制作制作公章尺寸标准大小,字体,字号?公章制作如何制作公章1433端口如何打开SQL1433端口ps抠图技巧请教PS抠图技巧!!!今日热点怎么删除今日热点怎么卸载删除 今日热点新闻彻底卸载删滚动代码来回滚动代码开机滚动条如何关闭开机滚动条?xv播放器下载xv播放器怎么下载?