测试(资料)网站类安全测试流程规范

网站安全测试  时间:2021-02-14  阅读:()

网站类安全测试指导文档

网站类安全测试流程规范

说明本文仅适用于国际站、 中文站和国际交易站

1 /29

网站类安全测试指导文档

2/29

网站类安全测试指导文档

目录

安全测试流程规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .1 定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .2角色和职责. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .3流程图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

1 .4安全测试必要性的评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

1 .5任务描述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

1 .6 自动化安全测试录制场景设计指导方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .7手工测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .8安全测试手工测试用例规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .9记录安全漏洞的规范性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .10主要产出物. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .1 1注意点说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Web安全漏洞简介及测试说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .12 XSS(Cross Site Script). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .13 CSRF(Cross-site Request Forgery). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

1 .14 SQL Injection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .15 URL Redirect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .16 AccessControl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

1 .17上传下载文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

2.7 Flash安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

自动化工具Hatirx介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .18自动化工具Hatirx. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .19 Hatirx工具使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

1 .20报表中信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

1 .21手动测试工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

3/29

网站类安全测试指导文档

1 .22安全工具的原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .23漏洞特征代码库在哪里. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .24 Hatrix工具注意事项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

安全测试分析举例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

4/29

网站类安全测试指导文档

安全测试流程规范

1.1定义

此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。

安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试。测试工程师目前主要采用两种方法做安全测试一种是采用自动化安全工具Hatrix扫描测试 自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection 一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证两者的区别主要就是针对的漏洞类型不同。

安全审核和安全测试区别在于安全审核属于白盒测试而安全测试属于黑盒测试两者并不能互相取代。两者的目的是一致的为了保证代码的安全性。但安全测试采用的是黑盒测试方案而安全审核是采用静态代码扫描的方案不考虑应用的逻辑仅仅关心代码本身的安全特性。并且只覆盖XSSCSRF和SQL Injection三种漏洞同时安全审核检测出的只是可疑点不一定就是漏洞是否是漏洞需要开发自己确定。所以安全审核的局限在于2点 1 无法覆盖URL Redirect和Access control漏洞。 2 无法最终确认漏洞。安全测试正好能够祢补安全审核的局限。

1.2角色和职责

5/29

网站类安全测试指导文档

1.3流程图

项目中安全测试流程图

小需求中安全测试流程图

6/29

网站类安全测试指导文档

1.4安全测试必要性的评估

1 、如何评估项目是否做安全测试

201 1年要求项目均需要做安全测试有特殊如底层数据迁移等 需与安全工程师评估是否要做安全测试并在《XXX项目安全测试传递清单》 中注明。

2、如何评估小需求是否做安全测试

Ao n e上安全测试评估选项 目前未集成 

7/29

网站类安全测试指导文档

说明在Aone上未集成该安全测试评估选项时暂且先用《小需求安全功能l ist模板》代替在小需求提测前交给PM/技术经理PM/技术经理进行各选项评估将该模板填好传递给QAQA再根据选项判断是否做安全测试。

1.5任务描述

8/29

网站类安全测试指导文档

9/29

展开全文

vpsdime7美元/月,美国达拉斯Windows VPS,2核4G/50GB SSD/2TB流量/Hyper-V虚拟化

vpsdime怎么样?vpsdime是2013年成立的国外VPS主机商,以大内存闻名业界,主营基于OpenVZ和KVM虚拟化的Linux套餐,大内存、10Gbps大带宽、大硬盘,有美国西雅图、达拉斯、新泽西、英国、荷兰机房可选。在上个月搞了一款达拉斯Linux系统VPS促销,详情查看:vpsdime夏日促销活动,美国达拉斯vps,2G内存/2核/20gSSD/1T流量,$20/年,此次推出一款Wi...

Virmach 3.23美元可用6个月的VPS主机

Virmach 商家算是比较久且一直在低价便宜VPS方案中玩的不亦乐乎的商家,有很多同时期的商家纷纷关闭转让,也有的转型到中高端用户。而前一段时间也有分享过一次Virmach商家推出所谓的一次性便宜VPS主机,比如很低的价格半年时间,时间到服务器也就关闭。这不今天又看到商家有提供这样的产品。这次的活动产品包括圣何塞和水牛城两个机房,为期六个月,一次性付费用完将会取消,就这么特别的产品,适合短期玩玩...

数脉科技8月促销,新客减400港币,BGP、CN2+BGP、阿里云线路低至350元

数脉科技(shuhost)8月促销:香港独立服务器,自营BGP、CN2+BGP、阿里云线路,新客立减400港币/月,老用户按照优惠码减免!香港服务器带宽可选10Mbps、30Mbps、50Mbps、100Mbps带宽,支持中文本Windows、Linux等系统。官方网站:https://www.shuhost.com* 更大带宽可在选购时选择同样享受优惠。* 目前仅提供HKBGP、阿里云产品,香港...

网站安全测试为你推荐
木马病毒木马病毒的区别weipin唯品单号为16060958116346的快递在哪了呢?无线路由器限速设置无线路由器怎么设置限速云播怎么看片云播看不了视频依赖注入依赖注入是什么意思?百度手写百度手写显示手机区号手机号码+86是移动区号还是联通的区号?商标注册查询官网怎么查商标有没有注册虚拟机软件下载求一个免费虚拟机软件!!!请发送下载网站给我网站推广外链我是新手SEO,请问网站怎样做外链推广
域名买卖 host1plus mobaxterm 香港新世界电讯 建站代码 魔兽世界台湾服务器 小米数据库 北京双线 域名接入 稳定免费空间 linux使用教程 drupal安装 镇江高防 如何登陆阿里云邮箱 杭州电信宽带 wordpress空间 湖南铁通 sonya 删除域名 时间同步服务器 更多
赞助商
比利时 半价 青果 亚特兰大 德阳 何塞 达拉斯 东京 联通 抢购 公网 挪威 带宽 电信 华为 证书 莫斯科 测试 沙田 亚当 挂机 中国 数据库 重新安装 保加利亚 日本 港元 页面 拉斯维加斯 荷兰 双核 加利福尼亚州 支付宝 深圳 网站 活动 西雅图 韩国 香港 新网 直达 港币 虚拟主机 大阪 阿里 优惠 英国 流量 重启 新泽西