DKBA华为技术有限公司内部技术法律规范DKBA 2355-2024.7Web应用安全测试法律规范V1.42009年7月5日发布 2009年7月5日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有 侵权必究All rights reserved修订声明Revision declaration本法律规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本法律规范的相关系列法律规范或文件:《Web应用安全开发法律规范》相关国际法律规范或文件一致性:《OWASP Testing Guide v3》《信息安全技术信息安全风险评估指南》《 Information technology Security techniques Management of information and communications technology security》-ISO 13335替代或作废的其它法律规范或文件:无相关法律规范或文件的相互关系:本法律规范以《Web应用安全开发法律规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1安全解决方案:赵武、吕晓雨 56987、王欢 00104062业务与软件测试部系统部:孟咏喜 00137435安全解决方案:刘海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、刘高峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部:张喆核心网:车广芳、苏三、刘京、冻良V1.2何伟祥 33428刘高峰、吴宇翔、杨光磊、王欢、胡坤红、张伟、孟咏喜、成庆华、黎迎斌、周鹏、张喆、文桂林、张理、姜永章、苏燕鲁增加 Web Service、上传、下载、控制台等方面的测试法律规范,更正 V1.1 一些描述不准确的测试项V1.3何伟祥 00162822刘高峰、胡坤红、张伟增加“会话固定”、“审计日Web 安全测试法律规范 V1.2内部公开下载后可任意编辑版本号主要起草部门专家主要评审部门专家修订情况志”、“DWR”的安全测试法律规范,完善验证码安全测试的方法。V1.4 刘振南 00264924胡坤红、张伟、宋飞、夏成林、王欢、沈海涛、钱育波、石功新增以下内容:3.3.5 SEC_Web_ DIR_05_02 版本控制软件 SVN 备份文件测试 3.5.8 会话标识随机性测试 3.6.3 跨站伪造请求测试 3.9.2 LDAP 注入测试 3.9.5 回车换行符(CRLF)注入测试 3.9.6 XML 注入测试 3.13 SEC_Web_SERVICE_02 Web Service 测试 3.15 HTML5 安全测试 3.16 FLASH 安全配置测试 3.17.3 WEB 部署与管理测试 3.17.4 Struts2 框架测试 5.2 HTML5 新增...
