安全测试 WEB安全测试手册

简介: 安全测试 WEB安全测试手册

WEB安全测试手册


概述

Ø          目的

Ø          适用读者

Ø          适用范围

Ø          注意事项

Ø          测试级别说明

Ø          测试过程示意图

1.            服务器信息收集

1.1      运行帐号权限测试

1.2      Web服务器端口扫描

1.3      HTTP方法测试

1.4      HTTP PUT方法测试

1.5      HTTP DELETE方法测试

1.6      HTTP TRACE方法测试

1.7      HTTP MOVE方法测试

1.8      HTTP COPY方法测试

1.9      Web服务器版本信息收集

2.            文件、目录测试

2.1      工具方式的敏感接口遍历

2.2      Robots方式的敏感接口查找

2.3      Web服务器的控制台

2.4      目录列表测试

2.5      文件归档测试

3.            认证测试

3.1      验证码测试

3.2      认证错误提示

3.3      锁定策略测试

3.4      认证绕过测试

3.5      找回密码测试

3.6      修改密码测试

3.7      不安全的数据传输

a)         登录过程信息机密性保护

b)         修改密码信息机密性保护

3.8      强口令策略测试

a)         注册用户强口令策略

b)         修改用户密码强口令策略

c)         找回用户密码强口令策略

4.            会话管理测试

4.1      用户注销登陆的方式测试

4.2      注销时会话信息是否清除测试

4.3      会话超时时间测试

4.4      会话定置(session fixation)测试

4.5      会话标识携带

4.6      会话cookie httponly属性设置

4.7      Cookie敏感信息检测

4.8      Cookie防篡改验证

4.9      Cookie过期时间检测

5.            权限管理测试

5.1      横向越权操作测试

5.2      纵向越权操作测试

6.            文件上传下载测试

6.1      文件上传测试

6.2      文件下载测试

7.            信息泄漏测试

7.1      连接数据库的帐号密码加密测试

7.2      客户端源代码敏感信息测试

7.3      客户端源代码注释测试

7.4      异常处理测试

7.4.1不存在的URL导致信息泄漏

7.4.2非法字符导致信息泄漏

7.4.3逻辑错误信息泄漏

7.5      HappyAxis.jsp页面测试

7.6      Web服务器状态信息测试

7.7      不安全的存储

a)            服务器安全测试

b)            日志文件测试

c)            敏感数据存储测试

7.8      XML外部实体注入

8.            输入数据测试

8.1      输入数据校验测试1(get请求)

8.2      输入数据校验测试2(post请求)

8.3      手工sql注入测试

8.4      自动化工具sql注入测试

8.5      命令执行测试

8.6      重定向测试

9.            跨站脚本攻击(XSS)测试

9.1      GET方式跨站脚本测试

9.2      POST方式跨站脚本测试

9.3      利用工具自动化测试

10.          CSRF跨站请求伪造测试

11.          业务流程(需求)测试

12.          搜索引擎信息收集

11.1   搜索引擎信息发现和侦察

11.2   审核web服务器元文件发现信息泄露

13.          Web Service测试

12.1   自动化测试

12.2   手动测试

14.          DWRDirect Web Remoting)测试

15.          其它

15.1       日志审计

15.2       class文件反编译测试

由于篇幅问题,采用百度网盘分享,下载地址:http://pan.baidu.com/s/1bo2P7A3

目录
相关文章
|
1月前
|
Web App开发 前端开发 JavaScript
探索Python科学计算的边界:利用Selenium进行Web应用性能测试与优化
【10月更文挑战第6天】随着互联网技术的发展,Web应用程序已经成为人们日常生活和工作中不可或缺的一部分。这些应用不仅需要提供丰富的功能,还必须具备良好的性能表现以保证用户体验。性能测试是确保Web应用能够快速响应用户请求并处理大量并发访问的关键步骤之一。本文将探讨如何使用Python结合Selenium来进行Web应用的性能测试,并通过实际代码示例展示如何识别瓶颈及优化应用。
99 5
|
13天前
|
Web App开发 测试技术 数据安全/隐私保护
自动化测试的魔法:使用Python进行Web应用测试
【10月更文挑战第32天】本文将带你走进自动化测试的世界,通过Python和Selenium库的力量,展示如何轻松对Web应用进行自动化测试。我们将一起探索编写简单而强大的测试脚本的秘诀,并理解如何利用这些脚本来确保我们的软件质量。无论你是测试新手还是希望提升自动化测试技能的开发者,这篇文章都将为你打开一扇门,让你看到自动化测试不仅可行,而且充满乐趣。
|
16天前
|
Web App开发 设计模式 JavaScript
自动化测试之美:如何利用Selenium实现Web应用的高效测试
【10月更文挑战第29天】在软件开发的世界中,测试是确保产品质量的关键步骤。本文将带你了解如何使用Selenium这一强大的自动化测试工具,提高Web应用测试的效率和准确性。通过实际案例,我们将探索Selenium的核心功能及其在现代软件开发中的应用,旨在帮助读者掌握自动化测试的精髓,从而提升软件测试工作的整体效能。
13 0
|
1月前
|
安全 Linux Shell
Kali渗透测试:使用Metasploit对Web应用的攻击
Kali渗透测试:使用Metasploit对Web应用的攻击
|
2月前
|
前端开发 机器人 测试技术
【RF案例】Web自动化测试弹窗处理
在进行Web自动化测试时,常会遇到不同类型的弹窗,如ajax、iframe、新窗口及alert/Confirm等。这些弹窗可通过Selenium进行定位与处理。其中,ajax弹窗直接定位处理;iframe需先选中再操作;新窗口类似iframe处理;而alert/Confirm则需特殊方法应对。在Robot Framework中,需先定义并获取窗口后使用特定关键字处理。此外,还有部分div弹窗需在消失前快速定位。希望本文能帮助大家更好地处理各类弹窗。
42 6
【RF案例】Web自动化测试弹窗处理
|
1月前
|
监控 Java Maven
springboot学习二:springboot 初创建 web 项目、修改banner、热部署插件、切换运行环境、springboot参数配置,打包项目并测试成功
这篇文章介绍了如何快速创建Spring Boot项目,包括项目的初始化、结构、打包部署、修改启动Banner、热部署、环境切换和参数配置等基础操作。
128 0
|
1月前
|
安全 Java Linux
Kali渗透测试:通过Web应用程序实现远程控制
Kali渗透测试:通过Web应用程序实现远程控制
|
3月前
|
测试技术
基于LangChain手工测试用例转Web自动化测试生成工具
该方案探索了利用大模型自动生成Web自动化测试用例的方法,替代传统的手动编写或录制方式。通过清晰定义功能测试步骤,结合LangChain的Agent和工具包,实现了从功能测试到自动化测试的转换,极大提升了效率。不仅减少了人工干预,还提高了测试用例的可维护性和实用性。
|
3月前
|
Web App开发 测试技术 API
自动化测试之美:使用Selenium和Python进行Web应用测试
【8月更文挑战第31天】在软件开发的快节奏世界中,自动化测试如同一束明灯,照亮了质量保证之路。本文将引导你通过Selenium和Python的强大组合,探索如何构建高效的Web应用测试框架。我们不仅会讨论理论,还会深入代码,从一个简单的示例开始,逐步扩展至更复杂的场景。无论你是初学者还是有经验的开发者,这篇文章都将为你提供宝贵的见解和实用的技巧。让我们一同揭开自动化测试的神秘面纱,体验它的魅力所在。
|
2月前
|
jenkins 测试技术 持续交付
自动化测试的高效之路:如何利用Python进行Web应用测试
【9月更文挑战第13天】在软件开发的快节奏中,自动化测试是确保质量和效率的关键。本文将引导你了解如何使用Python语言及其强大的测试框架来提升Web应用的测试效率。我们将一起探索编写简洁而强大的测试脚本的技巧,以及如何通过持续集成(CI)实现自动化测试流程。准备好让你的测试工作飞一般的感觉!