WEB安全测试培训

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

测试总结报告 第1页

1 Web安全测试技术方案

1.1 测试的目标

? 更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件 ? 更好的为今后系统建设提供指导和有价值的意见及建议

1.2 测试的范围

本期测试服务范围包含如下各个系统：

? Web系统：

1.3 测试的内容

1.3.1 WEB应用

针对网站及WEB系统的安全测试，我们将进行以下方面的测试：

? Web 服务器安全漏洞 ? Web 服务器错误配置 ? SQL 注入 ? XSS（跨站脚本） ? CRLF 注入 ? 目录遍历 ? 文件包含 ? 输入验证 ? 认证 ? 逻辑错误 ? Google Hacking ? 密码保护区域猜测 ? 字典攻击

? 特定的错误页面检测 ? 脆弱权限的目录

? 危险的 HTTP 方法（如：PUT、DELETE）

1.4 测试的流程

方案制定部分：

测试总结报告

web安全介绍与基础入门知识——课程概要

一．web应用安全发展与介绍

1.安全与安全圈

中国黑客的发展是一个波折的过程

1990年代初，部分人开始研究黑客技术（代表人物：马化腾）

1997-1999年，黑客团队涌现，进入黄金时代（中国红客联盟、中国黑客联盟、鹰派联盟。。。）

21世纪初，黑客工具傻瓜化，门槛低，黑客精神不在 今天，希望是安全的春天

圈内常识

安全团队所在的公司主要分为两类

1.甲方与乙方

甲方，如腾讯、阿里等需要安全服务的公司（这类公司拥有自己的安全团队，保障自己产品的安全）

乙方，提供安全服务、产品的服务型安全公司

2.web与二进制：

Web，研究web安全的

二进制，研究如客户端安全等（浏览器安全的 ，客户端安全的）

那些圈内熟识的安全公司

绿盟、知道创宇、安天、启明星辰、安恒、天融信....

2.web应用与web安全的发展

Web安全，也可以叫做web应用安全。

Web应用经历了开始、1.0以及现在3.0概念的出现，不断发展

20世纪60年代IBM的GML（通用标记语言）以及发展到后来的SGML（标准通用标记语言）

本文主要以Web应用和服务的大众化平台——网站系统的安全为研究对象包括服务器、操作系统、数据库、编程语言和客户端，分析Web应用中存在的各种安全问题、Web网络的安全性设置问题、如何保护Web站点上的机密数据问题、各种Web服务器的安全设置问题和各种程序语言的安全问题。在研究方法上，根据系统论的观点，将Web安全的各个问题分类，按照系统平台安全、程序安全、数据安全和通信安全的结构来组织全文。并采用理论分析与实践结合的方法来书写文章的内容。通过以上分析，得出了一些加强Web安全的可操作性经验和对策。这些对策体现了现在通用的最佳实践原则。
关键词： 网站； Web安全 ；系统安全
Web安全对策研究
摘 要
本文主要以Web应用和服务的大众化平台——网站系统的安全为研究对象包括服务器、操作系统、数据库、编程语言和客户端，分析Web应用中存在的各种安全问题、Web网络的安全性设置问题、如何保护Web站点上的机密数据问题、各种Web服务器的安全设置问题和各种程序语言的安全问题。在研究方法上，根据系统论的观点，将Web安全的各个问题分类，按照系统平台安全、程序安全、数据安全和通信安全的结构来组织全文。并采用理论分析与实践结合的方法来书写文章的内容。通过以上分析

如果Web服务中的SSL和TLS协议出现安全问题，后果会如何?很明显，这样的话攻击者就可以拥有你所有的安全信息，包括我们的用户名、密码、信用卡、银行信息……所有的一切。本文将向读者详细介绍如何针对Web服务中的SSL和TLS协议进行安全渗透测试。我们首先对这两种协议进行了概述，然后详细介绍了针对加密信道安全性的黑盒测试和白盒测试。最后列出了一些常用的安全测试工具。 一、简介

目前，许多重要的Web服务都使用了SSL和TLS协议对通信进行保护。我们知道，http协议是使用明文进行传输的，但是像网络银行之类的web应用如果使用http协议的话，那么所有的机密信息都会暴露在网络连接中，这就像银行用一个透明的信封给我们邮寄信用卡帐号和密码一样，在从银行到达用户之间任何接触过这封信的人，都能看到我们的帐号和密码。为了提高其安全性，经常需要通过SSL或者TLS隧道传输这些明文，这样就产生了https通信流量。例如网络银行之类的应用，在服务器和客户端之间传输密码，信用卡号码等重要信息时，都是通过https协议进行加密传送的。

SSL和TLS是两种安全协议，它们通过加密技术为传输的信息提供安全信道、机密性和身份验证等安全功能。我们知道由于对高级密

一些常用模块的测试用例

1、登录 2、添加 3、查询 4、删除 1、登录

①用户名和密码都符合要求（格式上的要求） ②用户名和密码都不符合要求（格式上的要求）

③用户名符合要求，密码不符合要求（格式上的要求） ④密码符合要求，用户名不符合要求（格式上的要求） ⑤用户名或密码为空

⑥数据库中不存在的用户名，不存在的密码 ⑦数据库中存在的用户名，错误的密码 ⑧数据库中不存在的用户名，存在的密码 ⑨输入的数据前存在空格 ⑩输入正确的用户名密码 以后按[enter]是否能登陆 2、添加

①要添加的数据项均合理，在界面保存成功后，检查数据库中是否添加了相应的数据：select查询

②留出一个必填数据为空

③按照边界值等价类设计测试用例的原则设计其他输入项的测试用例：数据组合测试 ④不符合要求的地方要有错误提示 ⑤是否支持table键 ⑥按enter是否能保存

⑦若提示不能保存，也要察看数据库里是否多了一条数据 3、删除

①删除一个数据库中存在的数据，然后查看数据库中是否删除（界面删除一条数据，查看数据库中是否删除）

②删除一个数据库中并不存在的数据，看是否有错误提示，并且数据库中没有数据被删除 ③输入一个格式错误的数据，看是否有错误提示，并且数据

主要简单介绍了Web测试方面需要注意的几条建议!!

在Web工程过程中，基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。基于Web的系统测试与传统的软件测试不同，它不但需要检查和验证是否按照设计的要求运行，而且还要测试系统在不同用户的浏览器端的显示是否合适。重要的是，还要从最终用户的角度进行安全性和可用性测试。然而，Internet和Web媒体的不可预见性使测试基于Web的系统变得困难。因此，我们必须为测试和评估复杂的基于Web的系统研究新的方法和技术。

本文将 web 测试分为 6 个部分：

1. 功能测试

2. 性能测试（包括负载/压力测试）

3. 用户界面测试

4. 兼容性测试

5. 安全测试

6. 接口测试

本文的目的是覆盖 web 测试的各个方面，未就某一主题进行深入说明。

1 功能测试

1.1 链接测试

链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先，测试所有链接是否按指示的那样确实链接到了该链接的页面；其次，测试所链接的页面是否存在；最后，保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

链接

WEB测试题

第一部分

选择填空题：全部为多选题，只有全部正确才能得分。

JDBC部分:

1. 典型的JDBC程序按( DBECFA)顺序编写。 A. 释放资源

B. 获得与数据库的物理连接 C. 执行SQL命令 D. 注册JDBC Driver

E. 创建不同类型的Statement F. 如果有结果集, 处理结果集

2. JDBC驱动程序的种类有____C___。 A. 两种 B. 三种 C. 四种 D. 五种

3. Oracle驱动程序类是oracle.jdbc.driver.OracleDriver, 通过类装载器(ClassLoader)加载的程序语句是__Class.forName (_\)___;实例化驱动程序后用DriverManager注册的程序语句是 DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver())__;在命令行指定系统属性的注册方式是 java -Djdbc.driver=oracle.jdbc.driver.OracleDriver。

4. 执行同构的SQL，用___C___; 执行异构的SQL, 用____B____;调用存

页面检查 合理布局

1、界面布局有序，简洁，符合用户使用习惯 2、界面元素是否在水平或者垂直方向对齐 3、界面元素的尺寸是否合理 4、行列间距是否保持一致

5、是否恰当地利用窗体和控件的空白，以及分割线条 6、窗口切换、移动、改变大小时，界面显示是否正常 7、刷新后界面是否正常显示

8、不同分辨率页面布局显示是否合理，整齐，分辨率一般为1024*768 >1280*1024 >800*600

弹出窗口

1、弹出的窗口应垂直居中对齐

2、对于弹出窗口界面内容较多，须提供自动全屏功能 3、弹出窗口时应禁用主界面，保证用户使用的焦点 4、活动窗体是否能够被反显加亮

页面正确性

1、界面元素是否有错别字，或者措词含糊、逻辑混乱

2、当用户选中了页面中的一个复选框，之后回退一个页面，再前进一个页面，复选框是否还处于选中状态 3、导航显示正确 4、title显示正确 5、页面显示无乱码

6、需要必填的控件，有必填提醒，如 *

7、适时禁用功能按钮（如权限控制时无权限操作时按钮灰掉或不显示；无法输入的输入框disable掉） 8、页面无js错

9、鼠标无规则点击时是否会产生无法预料的结果

10、鼠标有多个形状时