DKBADKBA2355-2009.7www.2cto.com红黑联盟收集整理Web应用安全测试规范V1.22009年7月5日发布2009年7月5日实施版权所有侵权必究Allrightsreserved文档名称文档密级修订声明Revisiondeclaration本规范拟制与解释部门:安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件:《Web应用安全开发规范》相关国际规范或文件一致性:《OWASPTestingGuidev3》《信息安全技术信息安全风险评估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作废的其它规范或文件:无相关规范或文件的相互关系:本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1V1.2增加WebService、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项文档名称文档密级目录TableofContents1概述...........................................................................................................................................71.1背景简介...................................................................................................................................71.2适用读者...................................................................................................................................71.3适用范围...................................................................................................................................71.4安全测试在IPD流程中所处的位置........................................................................................81.5安全测试与安全风险评估的关系说明...................................................................................81.6注意事项...................................................................................................................................91.7测试用例级别说明...................................................................................................................92测试过程示意图.....................................................................................................................103WEB安全测试规范...............................................................................................................113.1自动化WEB漏洞扫描工具测试.............................................................................................113.1.1AppScanapplication扫描测试....................................................................123.1.2AppScanWebService扫描测试................................................................133.2服务器信息收集.....................................................................................................................133.2.1运行帐号权限测试.....................................................................................133.2.2Web服务器端口扫描.................................................................................143.2.3HTTP方法测试...........................................................................................143.2.4HTTPPUT方法测试..................................................................................153.2.5HTTPDELETE方法测试...........................................................................163.2.6HTTPTRACE方法测试.............................................................................173.2.7HTTPMOVE方法测试........................................................
