测试(资料)网站类安全测试流程规范

网站安全测试  时间:2021-02-14  阅读:()

网站类安全测试指导文档

网站类安全测试流程规范

说明本文仅适用于国际站、 中文站和国际交易站

1 /29

网站类安全测试指导文档

2/29

网站类安全测试指导文档

目录

安全测试流程规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .1 定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .2角色和职责. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 .3流程图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

1 .4安全测试必要性的评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

1 .5任务描述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

1 .6 自动化安全测试录制场景设计指导方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .7手工测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .8安全测试手工测试用例规范. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

1 .9记录安全漏洞的规范性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .10主要产出物. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1 .1 1注意点说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Web安全漏洞简介及测试说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .12 XSS(Cross Site Script). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1 .13 CSRF(Cross-site Request Forgery). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

1 .14 SQL Injection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .15 URL Redirect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 .16 AccessControl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

1 .17上传下载文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

2.7 Flash安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

自动化工具Hatirx介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .18自动化工具Hatirx. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1 .19 Hatirx工具使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

1 .20报表中信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

1 .21手动测试工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

3/29

网站类安全测试指导文档

1 .22安全工具的原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .23漏洞特征代码库在哪里. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

1 .24 Hatrix工具注意事项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

安全测试分析举例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

4/29

网站类安全测试指导文档

安全测试流程规范

1.1定义

此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。

安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试。测试工程师目前主要采用两种方法做安全测试一种是采用自动化安全工具Hatrix扫描测试 自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection 一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证两者的区别主要就是针对的漏洞类型不同。

安全审核和安全测试区别在于安全审核属于白盒测试而安全测试属于黑盒测试两者并不能互相取代。两者的目的是一致的为了保证代码的安全性。但安全测试采用的是黑盒测试方案而安全审核是采用静态代码扫描的方案不考虑应用的逻辑仅仅关心代码本身的安全特性。并且只覆盖XSSCSRF和SQL Injection三种漏洞同时安全审核检测出的只是可疑点不一定就是漏洞是否是漏洞需要开发自己确定。所以安全审核的局限在于2点 1 无法覆盖URL Redirect和Access control漏洞。 2 无法最终确认漏洞。安全测试正好能够祢补安全审核的局限。

1.2角色和职责

5/29

网站类安全测试指导文档

1.3流程图

项目中安全测试流程图

小需求中安全测试流程图

6/29

网站类安全测试指导文档

1.4安全测试必要性的评估

1 、如何评估项目是否做安全测试

201 1年要求项目均需要做安全测试有特殊如底层数据迁移等 需与安全工程师评估是否要做安全测试并在《XXX项目安全测试传递清单》 中注明。

2、如何评估小需求是否做安全测试

Ao n e上安全测试评估选项 目前未集成 

7/29

网站类安全测试指导文档

说明在Aone上未集成该安全测试评估选项时暂且先用《小需求安全功能l ist模板》代替在小需求提测前交给PM/技术经理PM/技术经理进行各选项评估将该模板填好传递给QAQA再根据选项判断是否做安全测试。

1.5任务描述

8/29

网站类安全测试指导文档

9/29

展开全文

HaloCloud:日本软银vps100M/200M/500M带宽,,¥45.00元/月

halocloud怎么样?halocloud是一个于2019下半年建立的商家,主要提供日本软银VPS,广州移动VDS,株洲联通VDS,广州移动独立服务器,Halo邮局服务,Azure香港1000M带宽月抛机器等。日本软银vps,100M/200M/500M带宽,可看奈飞,香港azure1000M带宽,可以解锁奈飞等流媒体,有需要看奈飞的朋友可以入手!点击进入:halocloud官方网站地址日本vp...

BuyVM老牌商家新增迈阿密机房 不限流量 月付2美元

我们很多老用户对于BuyVM商家还是相当熟悉的,也有翻看BuyVM相关的文章可以追溯到2014年的时候有介绍过,不过那时候介绍这个商家并不是很多,主要是因为这个商家很是刁钻。比如我们注册账户的信息是否完整,以及我们使用是否规范,甚至有其他各种问题导致我们是不能购买他们家机器的。以前你嚣张是很多人没有办法购买到其他商家的机器,那时候其他商家的机器不多。而如今,我们可选的商家比较多,你再也嚣张不起来。...

ReliableSite:美国服务器租用,洛杉矶/纽约/迈阿密等机房;E3-1240V6/64GB/1TSSD,$95/月

reliablesite怎么样?reliablesite是一家于2006年成立的老牌美国主机商,主要提供独服,数据中心有迈阿密、纽约、洛杉矶等,均免费提供20Gbps DDoS防护,150TB月流量,1Gbps带宽。月付19美金可升级为10Gbps带宽。洛杉矶/纽约/迈阿密等机房,E3-1240V6/64GB内存/1TB SSD硬盘/DDOS/150TB流量/1Gbps带宽/DDOS,$95/月,...

网站安全测试为你推荐
郭吉军一个新的品牌,要怎么做网络推广公章制作如何制作公章1433端口怎么去看1433端口qq空间打扮QQ空间打扮安装迅雷看看播放器如何用手机安装迅雷看看播放器lockdownd[求教]在淘宝买了张激活卡,请问怎么取消激活网络广告投放网络广告投放有哪些技巧?网络虚拟机虚拟机网络设置qq等级表谁能告诉我QQ等级列表?网站排名靠前怎样才能做好一个网站?让网站排名靠前?新手求解
双线主机租用 深圳域名空间 过期已备案域名 hostmaster 仿牌空间 wavecom mediafire 流媒体服务器 sub-process evssl证书 小米数据库 北京双线机房 域名评估 域名接入 美国免费空间 国外免费asp空间 香港新世界中心 超级服务器 空间登陆首页 下载速度测试 更多
赞助商
洛杉矶 俄罗斯 摩尔多瓦 何塞 达拉斯 新泽西 莫斯科 深圳 旧金山 架构 电信 虚拟主机 备份 罗马尼亚 全球 挂机 拉斯维加斯 支付宝 面板 服务器 域名 欧洲 大阪 公网 邦联 迁移 亚特兰大 挪威 港币 解析 联通 亚洲 优惠 西雅图 磐石 日本 硬盘 美国洛杉矶 主机 重新安装 隐私保护 重启 宿迁 套餐 加利福尼亚州 韩国 青果 宝塔 马来西亚 港元