WEB安全测试手册

By：授客 QQ：1033553122

欢迎加入软件性能测试交流QQ群：7156436

概述

Ø          目的

Ø          适用读者

Ø          适用范围

Ø          注意事项

Ø          测试级别说明

Ø          测试过程示意图

1.

1.1      运行帐号权限测试

1.2      Web服务器端口扫描

1.3      HTTP方法测试

1.4      HTTP PUT方法测试

1.5      HTTP DELETE方法测试

1.6      HTTP TRACE方法测试

1.7      HTTP MOVE方法测试

1.8      HTTP COPY方法测试

1.9      Web服务器版本信息收集

2.

2.1      工具方式的敏感接口遍历

2.2      Robots方式的敏感接口查找

2.3      Web服务器的控制台

2.4      目录列表测试

2.5      文件归档测试

3.

3.1      验证码测试

3.2      认证错误提示

3.3      锁定策略测试

3.4      认证绕过测试

3.5      找回密码测试

3.6      修改密码测试

3.7      不安全的数据传输

a)         登录过程信息机密性保护

b)         修改密码信息机密性保护

3.8      强口令策略测试

a)         注册用户强口令策略

b)         修改用户密码强口令策略

c)         找回用户密码强口令策略

4.

4.1      用户注销登陆的方式测试

4.2      注销时会话信息是否清除测试

4.3      会话超时时间测试

4.4      会话定置(session fixation)测试

4.5      会话标识携带

4.6      会话cookie httponly属性设置

4.7      Cookie敏感信息检测

4.8      Cookie防篡改验证

4.9      Cookie过期时间检测

5.

5.1      横向越权操作测试

5.2      纵向越权操作测试

6.

6.1      文件上传测试

6.2      文件下载测试

7.

7.1      连接数据库的帐号密码加密测试

7.2      客户端源代码敏感信息测试

7.3      客户端源代码注释测试

7.4      异常处理测试

7.4.1 不存在的URL导致信息泄漏

7.4.2 非法字符导致信息泄漏

7.4.3 逻辑错误信息泄漏

7.5      HappyAxis.jsp页面测试

7.6      Web服务器状态信息测试

7.7      不安全的存储

a)

b)

c)

7.8      XML外部实体注入

8.

8.1      输入数据校验测试1(get请求)

8.2      输入数据校验测试2(post请求)

8.3      手工sql注入测试

8.4      自动化工具sql注入测试

8.5      命令执行测试

8.6      重定向测试

9.

9.1      GET方式跨站脚本测试

9.2      POST方式跨站脚本测试

9.3      利用工具自动化测试

10.

11.

12.

11.1   搜索引擎信息发现和侦察

11.2   审核web服务器元文件发现信息泄露

13.

12.1   自动化测试

12.2   手动测试

14.

15.

15.1

15.2

由于篇幅问题，采用百度网盘分享，下载地址：http://pan.baidu.com/s/1bo2P7A3