安全测试指南

测试方法

1、Web应用安全测试

1.1、 Web应用安全测试概述

Web应用安全测试只侧重于评估Web应用的安全性。这个过程包括主动分析应用程序的所有弱点、技术缺陷和漏洞。任何被发现的安全问题连同影响评估、缓解建议或者技术方案一起提交给系统所有者。

1.2、 什么是OWASP测试方法

测试模型

测试人员：执行测试活动的人

工具和方法：本测试指南项目的核心

应用：黑盒测试的对象

测试阶段

阶段1、 被动模式：

阶段2、  主动模式：

2、信息收集测试

2.1 搜索引擎信息收集

2.2 Web服务器指纹识别

2.3 审核Web服务器元文件信息泄露

2.3.1 审查Web服务器元文件信息泄露概述

如何测试robots.txt文件有关的Web应用程序目录或文件夹路径的信息泄露。

2.3.2 审查Web服务器元文件信息泄露测试目标

一个是寻找Web应用程序目录或文件夹路径的信息泄露，另一个是创建免于蜘蛛、机器人或爬虫遍历的目录列表。

2.3.3 审查Web服务器元文件信息泄露的方法

1、robots.txt    2、META标签

2.4 枚举Web服务器的应用

2.5 注释和元数据信息泄露

2.5.1 注释和元数据信息泄露概述

对于程序员来说，在源代码中包含详细的注释和元数据，是非常常见的，甚至是值得推荐的做法。但是HTML代码中的注释和元数据往往会泄露一些内部信息，这些信息本不应该对潜在供给者可见。为了确定是否有信息被泄漏，我们应该对注释和元数据进行审核。

2.5.2 注释和元数据信息泄露测试目标

审查网页注释和元数据可以更好的理解、应用和找到泄露的信息。

2.6 识别应用程序入口

2.7 映射应用程序执行路径

2.8 识别Web应用框架

2.9 识别Web应用程序

2.10 映射应用框架

3 配置管理测试

3.1 网络和基础设施配置测试

识别构成基础设施的各种组件，以便理解它们如何与Web应用进行交互，以及如何影响Web应用的安全性

审计基础设施的所有组件，从而确保它们没有包含任何已知漏洞

审计用以维护各种组件的管理工具

审计认证系统，以保证它能够满足应用程序的需要，且不能被外部用户用以提升权限

维护应用程序需要端口的列表，并纳入变更控制

3.2 应用平台配置测试

应用平台配置测试的方法

黑盒测试

示例与已知的文件和目录

注释检查

灰盒测试

配置检查

日志

存在敏感信息的日志

日志位置

日志存储

日志轮转迭代

日志访问控制

日志审核

3.3 敏感信息文件扩展处理测试

敏感信息文件扩展处理测试概述

敏感信息文件扩展处理测试方法

强制浏览

文件上传

灰盒测试

3.4 对旧文件、备份和未被引用文件的敏感信息的审查

对旧文件、备份和未被引用文件的敏感信息的审查该书

对旧文件、备份和未被引用文件的敏感信息产生的威胁

对旧文件、备份和未被引用文件的敏感信息的测试方法

3.5 枚举基础设施和应用程序管理界面

3.6 HTTP方法测试

3.7 HTTP强制安全传输测试

3.8 RIA跨域策略测试

3.9 配置部署管理测试工具

3.10 配置部署管理测试参考文献

3.11 配置部署管理测试加固措施

4 身份管理测试

4.1 角色定义测试

角色定义测试概述

角色定义测试目标

角色定义测试方法

4.2 用户注册流程测试

用户注册流程测试概述

用户测试流程测试目标

用户注册流程测试方法

4.3 帐户配置过程测试

帐户配置过程概述

帐户配置过程测试测试目标

帐户配置过程测试测试方法

4.4 帐户枚举和可猜测的用户帐户测试

帐户枚举和可猜测的用户帐户测试概述

帐户枚举可和可猜测的用户帐户测试方法

4.5 弱的或未实施的用户策略测试

弱的或未实施的用户策略测试概述

弱的或未实施的用户策略测试目标

弱的或未实施的用户策略测试方法

4.6 身份管理测试工具

5 认证测试

5.1 凭证在加密通道中的传输测试

5.2 默认用户凭证测试

默认用户凭证测试方法

测试常用应用程序的默认凭证

测试新帐号的默认密码

5.3 弱锁定机制测试

5.4 认证模式绕过测试

5.5 记忆密码功能存在威胁测试

5.6 浏览器缓存威胁测试

5.7 弱密码策略测试

5.8 弱安全问答测试

5.9 弱密码的更改或重设功能测试

5.10 在辅助信道中较弱认证测试

5.11 认证测试工具

6 授权测试

6.1 目录遍历/文件包含测试

6.2 绕过授权模式测试

绕过授权模式测试概述

绕过授权模式测试方法

测试管理功能

测试分配给不同角色的资源

6.3 权限提升测试

权限提升测试概述

权限提升测试方法

6.4 不安全对象引用测试

不安全对象引用测试概述

不安全对象引用测试方法

6.5 授权工具测试

6.6 授权测试参考文献

6.7 授权测试加固措施

7 会话管理测试

7.1 会话管理架构绕过测试

会话管理架构绕过测试概述

会话管理绕过测试方法

7.2 Cookie属性测试

7.3 会话固化测试

7.4 会话变量漏洞测试

7.5 跨站伪造请求

7.6 会话管理测试工具

7.7 会话管理测试参考文献

7.8 会话管理测试加固措施

8 输入验证测试

8.1 反射型跨站脚本测试

8.2 存储型跨站脚本测试

8.3 HTTP方法纂改测试

8.4 HTTP参数污染测试

8.5 SQL注入测试

8.6 LDAP测试

8.7 ORM注入测试

8.8 XML注入测试

8.9 SSI注入测试

8.10 XPATH注入测试

8.11 IMAP/SMTP注入测试

8.12 代码注入测试

8.13 命令注入测试

8.14 缓冲区溢出测试

8.15 潜伏式漏洞测试

8.16 HTTP拆分/走私测试

8.17 输入验证测试工具

8.18 输入验证测试文献

8.19 输入验证测试加固措施

9 错误处理测试

9.1 报错信息测试

9.2 堆栈轨迹测试

黑盒测试

灰盒测试

9.3 错误处理测试工具

9.4 错误处理测试参考文献

9.5 错误处理测试加固措施

10、加密体系脆弱性测试

10.1 SSL/TLS 弱加密、传输层协议缺陷测试

SSL/TLS弱加密、传输层协议缺陷测试常见问题

敏感数据在明文中传输

SSL/TLS弱加密、弱协议、弱密钥

SSL证书有效性---客户端和服务器

10.2 Padding Oracle攻击测试

10.3 通过未加密信道发送敏感数据测试

通过HTTP进行基础认证

通过HTTP基于表单进行认证

通过HTTP发送包含session ID的Cookie

10.4 加密体系脆弱性测试工具

10.5 加密体系脆弱性参考文献

10.6 加密体系脆弱性加固措施

11 业务逻辑测试

11.1 业务逻辑数据验证测试

11.2 伪造请求的测试

11.3 完整性检查测试

11.4 处理耗时测试

11.5 功能使用次数限制

11.6 工作流程逃逸的测试

11.7 防御应用程序滥用测试

11.8 意外文件类型上传

11.9 恶意文件上传测试

11.10 业务逻辑测试工具

11.11 业务逻辑测试加固措施

12 客户端测试

12.1 基于DOM的跨站脚本测试

12.2 JavaScript 执行测试

12.3 HTML注入测试

12.4 客户端URL重定向测试

12.5 CSS注入测试

12.6 客户端资源处理测试

14.7 跨资源共享测试

14.8 跨站Flash测试

14.9 点击劫持测试

14.10 WebSockets测试

14.11 Web消息测试

14.12 本地存储测试

14.13 客户端测试工具

14.14 客户端测试参考文献

14.15 客户端测试加固措施

13 报告

管理概述

测试参数

已发现问题