文档介绍：网站安全性测试体系
目录
1文档概述 1
1
1
读者对象 1
历史记录 1
2. 安全测试检查点 2
2
2
用户名和密码 2
直接输入需要权限的网页地址可以访问 3
上传文件没有限制 3
不安全的存储 3
操作时间的失效性 3
日志完整性 4
4
4
5
5
IBM AppScan 5
HttpWatch 6
ix Web Vulnerability 6
7
7
8
8
9
9
10
1文档概述

根据莱尔巴蒂电子商务网站的安全需求,对网站进行安全测评,测试内容涉及服务器主机安全、应用安全和数据安全,以及网站的重要安全隐患,如跨站脚本攻击、SQL注入、信息泄露、不安全的配置管理、支付方面、用户信息方面、商品管理方面等。

包括首页网页安全检查点、数据库安全检查点、系统安全检查点、接口安全测试等几方面展开
读者对象
公司内部测试,研发成员及管理层及第三方顾问
历史记录
修订历史记录
版本
日期
AMD
修订者
说明

2010-7-5
无
陈春游
无
(A-添加,M-修改,D-删除)
2. 安全测试检查点

输入的数据没有进行有效的控制和验证
数据类型(字符串,整型,实数,等)
允许的字符集
最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值(枚举型)
特定的模式(正则表达式)(注:建议尽量采用白名单)
用户名和密码
检测接口程序连接登录时,是否需要输入相应的用户
是否设置密码最小长度(密码强度)
用户名和密码中是否可以有空格或回车?
是否允许密码和用户名一致
防恶意注册:可否用自动填表工具自动注册用户? (傲游等)
遗忘密码处理
有无缺省的超级用户?(admin等,关键字需屏蔽)
有无超级密码?
是否有校验码?
密码错误次数有无限制?
大小写敏感?
口令不允许以明码显示在输出设备上
强制修改的时间间隔限制(初始默认密码)
口令的唯一性限制(看需求是否需要)
口令过期失效后,是否可以不登陆而直接浏览某个页面
哪些页面或者文件需要登录后才能访问/下载
cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息
直接输入需要权限的网页地址可以访问
避免研发只是简单的在客户端不显示权限高的功能项
举例Bug:
没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面;
注销后,点浏览器上的后退,可以进行操作。
正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。
通过Http抓包的方式获取Http请求信息