Web应用安全测试方案

1、1 We段全测试技术方案1.1 测试的目标更好的发现当前系统存在的可能的平安隐患,防止发生危害性的平安事件 更好的为今后系统建设提供指导和有价值的意见及建议1.2 测试的范围本期测试效劳范围包含如下各个系统：Web系统：1.3 测试的内容1.3.1 WEW用针对网站及 WE朦统的平安测试,我们将进行以下方面的测试：Web效劳器平安漏洞Web效劳器错误配置SQL注入XSS 跨站脚本CRLF注入目录遍历文件包含输入验证认证逻辑错误Google Hacking密码保护区域猜想字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP方法如：PUT DELETE1.4 测试的流程方案制定局部：获取到客户的

2、书面授权许可后,才进行平安测试的实施.并且将实施范围、方法、时间、人 员等具体的方案与客户进行交流,并得到客户的认同.在测试实施之前,让客户对平安测试过程和风险知晓,使随后的正式测试流程都在客户的控 制下.信息收集局部：这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的效劳识别 等.采用商业和开源的检测工具AWVS burpsuite、Nmap等进行收集.测试实施局部：在躲避防火墙、入侵检测、防毒软件等平安产品监控的条件下进行：操作系统可检测到的漏 洞测试、应用系统检测到的漏洞测试如：Web应用,此阶段如果成功的话,可能获得普通权限.平安测试人员可能用到的测试手段有：扫描

3、分析、溢出测试、口令爆破、社会工程学、客户 端攻击、中间人攻击等,用于测试人员顺利完成工程.在获取到普通权限后,尝试由普通权限提升 为治理员权限,获得对系统的完全限制权.此过程将循环进行,直到测试完成.最后由平安测试人 员去除中间数据.分析报告输出：平安测试人员根据测试的过程结果编写直观的平安测试效劳报告.内容包括：具体的操作步 骤描述；响应分析以及最后的平安修复建议.下列图是更为详细的步骤拆分示意图：1.5 测试的手段根据平安测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了 自动化测试过程中的误报问题.1.5.1 常用工具列表自动化扫描工具：AWVS OWASP ZA

4、P Burpsuite 等端口扫描、效劳检测：Nmap THC-Ama年密码、口令破解：Johntheripper 、HASHCAT Cain 等漏洞利用工具：MetasploitFramework 等应用缺陷分析工具：Burpsuite、Sqlmap等1.6 测试的风险躲避在平安测试过程中,虽然我们会尽量防止做影响正常业务运行的操作,也会实施风险躲避的计谋,但是由于测试过程变化多端,平安测试效劳仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成效劳停止,甚至是宕机.比方渗透人员实施系统权限提升操作时, 突遇系统停电,再次重启时可能会出现系统无法启动的故障等.因此,我们会在平安测试前与客户详细讨论渗透方案,并采取如下多条策略来躲避平安测试带来的风险：1.6.1 需要客户躲避的风险 备份策略为防范平安测试过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作.对银行转帐、电信计费、电力调度等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施.这样就需要完整的复制目标系统的环境： 硬件平台、操作系统、应用效劳、 程序软件、业务访问等；然后对该副本再进行平安测试. 应急策略测试过程中,如果目标系统出现无响应、中断或