DKBA华为技术有限公司内部技术规范DKBA2355-2009.7Web应用安全测试规范V1.42009年7月5日发布2009年7月5日实施华为技术有限公司HuaweiTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved修订声明Revisiondeclaration本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件:《Web应用安全开发规范》相关国际规范或文件一致性:《OWASPTestingGuidev3》《信息安全技术信息安全风险评估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作废的其它规范或文件:无相关规范或文件的相互关系:本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1安全解决方案:赵武、吕晓雨56987、王欢00104062业务与软件测试部系统部:孟咏喜00137435安全解决方案:刘海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件:何伟祥、刘高峰、龚连阳、许汝波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部:张喆核心网:车广芳、苏三、刘京、冻良V1.2何伟祥33428刘高峰、吴宇翔、杨光磊、王欢、胡坤红、张伟、孟咏喜、成庆华、黎迎斌、周鹏、张喆、文桂林、张理、姜永章、苏燕鲁增加WebService、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项V1.3何伟祥00162822刘高峰、胡坤红、张伟增加“会话固定”、“审计日Web安全测试规范V1.2内部公开版本号主要起草部门专家主要评审部门专家修订情况志”、“DWR”的安全测试规范,完善验证码安全测试的方法。V1.4刘振南00264924胡坤红、张伟、宋飞、夏成林、王欢、沈海涛、钱育波、石功新增以下内容:3.3.5SEC_Web_DIR_05_02版本控制软件SVN备份文件测试3.5.8会话标识随机性测试3.6.3跨站伪造请求测试3.9.2LDAP注入测试3.9.5回车换行符(CRLF)注入测试3.9.6XML注入测试3.13SEC_Web_SERVICE_02WebService测试3.15HTML5安全测试3.16FLASH安全配置测试3.17.3WEB部署与管理测试3.17.4Struts2框架测试5.2HTML5新增标签2025-1-17华为机密,未经许可不得扩散第3页,共95页Web安全测试规范V1.2内部公开目录TableofContents1概述...........................................................................................................................................91.1背景简介...................................................................................................................................91.2适用读者...................................................................................................................................91.3适用范围...................................................................................................................................91.4安全测试在IPD流程中所处的位置.....................................................................................101.5安全测试与安全风险评估的关系说明.................................................................................101.6注意事项.................................................................................................................................111.7测试用例级别说明.................................................................................................................112测试过程示意图.....................................................................................................................123WEB安全测试规范...............................................................................................................133.1自动化WEB漏洞扫描工具测试.................................................................................
