成都中科大旗软件有限公司 WEB 安全测试规范DAQSoft 2011 第 1 页, 共 64页Web应用安全测试规范大旗软件有限公司DAQSOFT Co., Ltd.版权所有 侵权必究All rights reserved 成都中科大旗软件有限公司 WEB 安全测试规范DAQSoft 2011 第 2 页, 共 64页修订声明Revision declaration本规范拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件：Web应用安全开发规范相关国际规范或文件一致性：OWASP Testing Guide v3信息安全技术信息安全风险评估指南Information technology Security techniques Management of information and communications technology securityISO 13335替代或作废的其它规范或文件：无相关规范或文件的相互关系：本规范以Web应用安全开发规范为基础、结合Web应用的特点而制定。版本号 主要起草部门专家 主要评审部门专家 修订情况V1 开发部 开发部 成都中科大旗软件有限公司 WEB 安全测试规范DAQSoft 2011 第 3 页, 共 64页目 录 Table of Contents1 概述 .71.1 背景简介 .71.2 适用读者 .71.3 适用范围 .71.4 安全测试在IPD流程中所处的位置 .81.5 安全测试与安全风险评估的关系说明 .81.6 注意事项 .91.7 测试用例级别说明 .92 测试过程示意图 .103 WEB安全测试规范 .113.1 自动化WEB漏洞扫描工具测试 .113.1.1 AppScan application扫描测试 .123.1.2 AppScan Web Service 扫描测试 .133.2 服务器信息收集 .133.2.1 运行帐号权限测试 .133.2.2 Web服务器端口扫描 .143.2.3 HTTP方法测试 .143.2.4 HTTP PUT方法测试 .153.2.5 HTTP DELETE方法测试 .163.2.6 HTTP TRACE方法测试 .173.2.7 HTTP MOVE方法测试 .173.2.8 HTTP COPY方法测试 .183.2.9 Web服务器版本信息收集 .193.3 文件、目录测试 .203.3.1 工具方式的敏感接口遍历 .203.3.2 Robots方式的敏感接口查找 .22 成都中科大旗软件有限公司 WEB 安全测试规范DAQSoft 2011 第 4 页, 共 64页3.3.3 Web服务器的控制台 .233.3.4 目录列表测试 .243.3.5 文件归档测试 .273.4 认证测试 .283.4.1 验证码测试 .283.4.2 认证错误提示 .293.4.3 锁定策略测试 .293.4.4 认证绕过测试 .303.4.5 找回密码测试 .