测试(资料)网站类安全测试流程规范

网站安全测试  时间:2021-02-14  阅读:()

网站类安全测试指导文档

网站类安全测试流程规范

说明本文仅适用于国际站、 中文站和国际交易站

1 /29

网站类安全测试指导文档

2/29

网站类安全测试指导文档

目录

安全测试流程规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .1 定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .2角色和职责. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .3流程图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

1 .4安全测试必要性的评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

1 .5任务描述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

1 .6 自动化安全测试录制场景设计指导方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .7手工测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .8安全测试手工测试用例规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .9记录安全漏洞的规范性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .10主要产出物. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .1 1注意点说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Web安全漏洞简介及测试说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .12 XSS(Cross Site Script). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .13 CSRF(Cross-site Request Forgery). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

1 .14 SQL Injection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .15 URL Redirect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .16 AccessControl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

1 .17上传下载文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

2.7 Flash安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

自动化工具Hatirx介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .18自动化工具Hatirx. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .19 Hatirx工具使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

1 .20报表中信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

1 .21手动测试工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

3/29

网站类安全测试指导文档

1 .22安全工具的原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .23漏洞特征代码库在哪里. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .24 Hatrix工具注意事项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

安全测试分析举例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

4/29

网站类安全测试指导文档

安全测试流程规范

1.1定义

此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。

安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试。测试工程师目前主要采用两种方法做安全测试一种是采用自动化安全工具Hatrix扫描测试 自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection 一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证两者的区别主要就是针对的漏洞类型不同。

安全审核和安全测试区别在于安全审核属于白盒测试而安全测试属于黑盒测试两者并不能互相取代。两者的目的是一致的为了保证代码的安全性。但安全测试采用的是黑盒测试方案而安全审核是采用静态代码扫描的方案不考虑应用的逻辑仅仅关心代码本身的安全特性。并且只覆盖XSSCSRF和SQL Injection三种漏洞同时安全审核检测出的只是可疑点不一定就是漏洞是否是漏洞需要开发自己确定。所以安全审核的局限在于2点 1 无法覆盖URL Redirect和Access control漏洞。 2 无法最终确认漏洞。安全测试正好能够祢补安全审核的局限。

1.2角色和职责

5/29

网站类安全测试指导文档

1.3流程图

项目中安全测试流程图

小需求中安全测试流程图

6/29

网站类安全测试指导文档

1.4安全测试必要性的评估

1 、如何评估项目是否做安全测试

201 1年要求项目均需要做安全测试有特殊如底层数据迁移等 需与安全工程师评估是否要做安全测试并在《XXX项目安全测试传递清单》 中注明。

2、如何评估小需求是否做安全测试

Ao n e上安全测试评估选项 目前未集成 

7/29

网站类安全测试指导文档

说明在Aone上未集成该安全测试评估选项时暂且先用《小需求安全功能l ist模板》代替在小需求提测前交给PM/技术经理PM/技术经理进行各选项评估将该模板填好传递给QAQA再根据选项判断是否做安全测试。

1.5任务描述

8/29

网站类安全测试指导文档

9/29

展开全文

Raksmart VPS主机如何设置取消自动续费

今天有看到Raksmart账户中有一台VPS主机即将到期,这台机器之前是用来测试评测使用的。这里有不打算续费,这不面对万一导致被自动续费忘记,所以我还是取消自动续费设置。如果我们也有类似的问题,这里就演示截图设置Raksmart取消自动续费。这里我们可以看到上图,在对应VPS主机的【其余操作】中可以看到默认已经是不自动续费,所以我们也不要担心被自动续费的。当然,如果有被自动续费,我们确实不想续费的...

PacificRack(19.9美元/年)内存1Gbps带vps1GB洛杉矶QN机房,七月特价优惠

pacificrack怎么样?pacificrack商家发布了七月最新优惠VPS云服务器计划方案,推出新款优惠便宜VPS云服务器采用的是国产魔方管理系统,也就是PR-M系列,全系基于KVM虚拟架构,这次支持Windows server 2003、2008R2、2012R2、2016、2019、Windows 7、Windows 10以及Linux等操作系统,最低配置为1核心2G内存1Gbps带宽1...

ZJI:韩国BGP+CN2线路服务器,国内三网访问速度优秀,8折优惠码每月实付440元起

zji怎么样?zji最近新上韩国BGP+CN2线路服务器,国内三网访问速度优秀,适用8折优惠码zji,优惠后韩国服务器最低每月440元起。zji主机支持安装Linux或者Windows操作系统,会员中心集成电源管理功能,8折优惠码为终身折扣,续费同价,全场适用。ZJI是原Wordpress圈知名主机商:维翔主机,成立于2011年,2018年9月启用新域名ZJI,提供中国香港、台湾、日本、美国独立服...

网站安全测试为你推荐
jolicloud新手学习LINUX系统维护淘宝客推广淘宝客怎么推广支付宝查询余额支付宝钱包怎么查余额?深圳公交车路线深圳公交路线湖南商标注册在湖南搞商标注册是代理好还是自己去好一点?湖南商标注册的流程又是什么样的呢?快速美白好方法快速美白的好点子!?(不是晒黑的)中国论坛大全中国十大网站是?flash导航条谁来帮我看看这样的flash导航条 下面的页面该怎么设计微信如何建群微信怎么建立群今日热点怎么删除如何彻底删除今日热点
免费顶级域名 photonvps webhostingpad 便宜建站 68.168.16.150 seovip 轻博 evssl 嘉洲服务器 java虚拟主机 web服务器架设 圣诞促销 河南m值兑换 域名转接 域名评估 服务器是干什么的 idc查询 最漂亮的qq空间 photobucket 服务器托管价格 更多
赞助商
加利福尼亚州 隐私保护 摩尔多瓦 亚洲 路由器 荷兰 无限 达拉斯 深圳 菲律宾 电信 亚特兰大 罗马尼亚 免费版 网站 英国 数据 西伯利亚 旧金山 全球 主机 邦联 德克萨斯州 证书 迁移 网络 大阪 俄罗斯 港币 中国 新加坡 双核 美国洛杉矶 亚当 域名 数据库 计费 韩国 流量 越南 备份 硬盘 页面 西雅图 防御 华纳 优惠 安徽 东京 阿里