安全測試指南（第4版）

第一部分 項目概述及測試框架第1章 OWASP測試項目 21.1 OWASP測試項目概述 21.2 測試原則 51.3 測試技術說明 91.3.1 測試技術說明概述 91.3.2 人工檢查及復查 91.3.3 軟件威脅建模 101.3.4 代碼審查 111.3.5 滲透測試 121.3.6 需要平衡的測試方法 131.3.7 關于Web應用掃描工具的注意事項 141.3.8 關于靜態(tài)源代碼復查工具的注意事項 151.3.9 安全測試需求推導 151.3.10 功能和非功能測試需求 181.3.11 安全測試集成于開發(fā)與測試工作流程 211.3.12 開發(fā)人員的安全測試 221.3.13 集成系統(tǒng)測試和操作測試 241.3.14 安全測試數據分析和報告 251.4 OWASP測試項目參考文獻 28第2章 OWASP測試架構 302.1 OWASP測試架構概述 302.1.1 階段1：開發(fā)前 312.1.2 階段2：設計和定義階段 312.1.3 階段3：開發(fā)階段 332.1.4 階段4：部署中 332.1.5 階段5：維護和運行 342.2 典型SDLC測試流程 34第二部分 測試方法第3章 Web應用安全測試 363.1 Web應用安全測試概述 363.2 什么是OWASP測試方法？ 37第4章 信息收集測試 394.1 搜索引擎信息搜集（OTG-INFO-001） 394.1.1 信息搜集概述 394.1.2 信息搜集測試目標 404.1.3 信息搜集測試方法 404.2 Web服務器指紋識別（OTG-INFO-002） 424.2.1 Web服務器指紋識別概述 424.2.2 Web服務器指紋識別測試目標 424.2.3 Web服務器指紋識別測試方法 434.3 審查Web服務器元文件信息泄露（OTG-INFO-003） 484.3.1 審查Web服務器元文件信息泄露概述 484.3.2 審查Web服務器元文件信息泄露測試目標 484.3.3 審查Web服務器元文件信息泄露測試方法 494.4 枚舉Web服務器的應用（OTG-INFO-004） 524.4.1 枚舉Web服務器的應用概述 524.4.2 枚舉Web服務器的應用測試目標 534.4.3 枚舉Web服務器的應用測試方法 534.5 注釋和元數據信息泄露（OTG-INFO-005） 584.5.1 注釋和元數據信息泄露概述 584.5.2 注釋和元數據信息泄露測試目標 584.5.3 注釋和元數據信息泄露測試方法 584.6 識別應用的入口（OTG-INFO-006） 604.6.1 識別應用的入口概述 604.6.2 識別應用的入口測試目標 604.6.3 識別應用的入口測試方法 604.7 映射應用程序的執(zhí)行路徑（OTG-INFO-007） 624.7.1 映射應用程序的執(zhí)行路徑概述 624.7.2 映射應用程序的執(zhí)行路徑測試目標 634.7.3 映射應用程序的執(zhí)行路徑測試方法 634.8 識別Web應用框架（OTG-INFO-008） 644.8.1 識別Web應用框架概述 644.8.2 識別Web應用框架測試目標 654.8.3 識別Web應用框架測試方法 654.9 識別Web應用程序（OTG-INFO-009） 694.9.1 識別Web應用程序概述 694.9.2 識別Web應用程序測試目標 694.9.3 識別Web應用程序測試方法 694.10 映射應用架構（OTG-INFO-010） 734.10.1 映射應用架構概述 734.10.2 映射應用架構測試方法 734.10.3 防護Web服務器示例 744.11 信息收集測試工具 754.12 信息收集測試參考文獻 814.13 信息收集測試加固措施 83第5章 配置管理測試 875.1 網絡和基礎設施配置測試（OTG-CONFIG-001） 875.1.1 網絡和基礎設施配置測試概述 875.1.2 網絡和基礎設施配置測試方法 885.2 應用平臺配置測試（OTG-CONFIG-002） 895.2.1 應用平臺配置測試概述 895.2.2 應用平臺配置測試方法 895.3 敏感信息文件擴展處理測試（OTG-CONFIG-003） 945.3.1 敏感信息文件擴展處理測試概述 945.3.2 敏感信息文件擴展處理測試方法 955.4 對舊文件、備份和未被引用文件的敏感信息的審查（OTG-CONFIG-004） 965.4.1 對舊文件、備份和未被引用文件的敏感信息的審查概述 965.4.2 對舊文件、備份和未被引用文件的敏感信息產生的威脅 975.4.3 對舊文件、備份和未被引用文件的敏感信息的測試方法 985.5 枚舉基礎設施和應用程序管理界面（OTG-CONFIG-005） 1015.5.1 枚舉基礎設施和應用程序管理界面概述 1015.5.2 枚舉基礎設施和應用程序管理界面測試方法 1025.6 HTTP方法測試（OTG-CONFIG-006） 1035.6.1 HTTP方法測試概述 1035.6.2 任意的HTTP方法 1045.6.3 HTTP方法測試方法 1045.7 HTTP強制安全傳輸測試（OTG-CONFIG-007） 1085.7.1 HTTP強制安全傳輸測試概述 1085.7.2 HTTP強制安全傳輸測試方法 1085.8 RIA跨域策略測試（OTG-CONFIG-008） 1095.8.1 RIA跨域策略測試概述 1095.8.2 跨域策略測試方法 1105.9 配置部署管理測試工具 1115.10 配置部署管理測試參考文獻 1135.11 配置部署管理測試加固措施 116第6章 身份管理測試 1176.1 角色定義測試（OTG-IDENT-001） 1176.1.1 角色定義測試概述 1176.1.2 角色定義測試目標 1176.1.3 角色定義測試方法 1186.2 用戶注冊流程測試（OTG-IDENT-002） 1186.2.1 用戶注冊流程測試概述 1186.2.2 用戶注冊流程測試目標 1186.2.3 用戶注冊流程測試方法 1196.3 賬戶配置過程測試（OTG-IDENT-003） 1206.3.1 賬戶配置過程測試概述 1206.3.2 賬戶配置過程測試測試目標 1206.3.3 賬戶配置過程測試測試方法 1206.4 賬戶枚舉和可猜測的用戶賬戶測試（OTG-IDENT-004） 1216.4.1 賬戶枚舉和可猜測的用戶賬戶測試概述 1216.4.2 賬戶枚舉和可猜測的用戶賬戶測試方法 1226.5 弱的或未實施的用戶策略測試（OTG-IDENT-005） 1266.5.1 弱的或未實施的用戶策略測試概述 1266.5.2 弱的或未實施的用戶策略測試目標 1266.5.3 弱的或未實施的用戶策略測試方法 1266.6 身份管理測試工具 1266.7 身份管理測試參考文獻 1276.8 身份管理測試加固措施 128第7章 認證測試 1297.1 憑證在加密通道中的傳輸測試（OTG-AUTHN-001） 1297.1.1 憑證在加密通道中的傳輸測試概述 1297.1.2 憑證在加密通道中的傳輸測試方法 1307.2 默認用戶憑證測試（OTG-AUTHN-002） 1337.2.1 默認用戶憑證測試概述 1337.2.2 默認用戶憑證測試方法 1337.3 弱鎖定機制測試（OTG-AUTHN-003） 1367.3.1 弱鎖定機制測試概述 1367.3.2 弱鎖定機制測試目標 1367.3.3 弱鎖定機制測試方法 1367.4 認證模式繞過測試（OTG-AUTHN-004） 1387.4.1 認證模式繞過測試概述 1387.4.2 認證模式繞過測試方法 1387.5 記憶密碼功能存在威脅測試（OTG-AUTHN-005） 1427.5.1 記憶密碼功能存在威脅測試概述 1427.5.2 記憶密碼功能存在威脅測試方法 1437.6 瀏覽器緩存威脅測試（OTG-AUTHN-006） 1437.6.1 瀏覽器緩存威脅測試概述 1437.6.2 瀏覽器緩存威脅測試方法 1447.7 弱密碼策略測試（OTG-AUTHN-007） 1457.7.1 弱密碼策略測試概述 1457.7.2 弱密碼策略測試目標 1457.7.3 弱密碼策略測試方法 1467.8 弱安全問答測試（OTG-AUTHN-008） 1467.8.1 弱安全問答測試概述 1467.8.2 弱安全問答測試方法 1477.9 弱密碼的更改或重設功能測試（OTG-AUTHN-009） 1487.9.1 弱密碼的更改或重設功能測試概述 1487.9.2 弱密碼的更改或重設功能測試目標 1487.9.3 弱密碼的更改或重設功能測試方法 1487.10 在輔助信道中較弱認證測試（OTG-AUTHN-010） 1507.10.1 在輔助信道中較弱認證測試概述 1507.10.2 在輔助信道中較弱認證測試示例 1517.10.3 在輔助信道中較弱認證測試方法 1517.10.4 關聯的測試用例 1527.11 認證測試工具 1527.12 認證測試參考文獻 1537.13 認證測試加固措施 155第8章 授權測試 1568.1 目錄遍歷/文件包含測試（OTG-AUTHZ-001） 1568.1.1 目錄遍歷/文件包含測試概述 1568.1.2 目錄遍歷/文件包含測試方法 1578.2 繞過授權模式測試（OTG-AUTHZ-002） 1608.2.1 繞過授權模式測試概述 1608.2.2 繞過授權模式測試方法 1618.3 權限提升測試（OTG-AUTHZ-003） 1618.3.1 權限提升測試概述 1618.3.2 權限提升測試方法 1628.4 不安全對象引用測試（OTG-AUTHZ-004） 1638.4.1 不安全對象引用測試概述 1638.4.2 不安全對象引用測試方法 1638.5 授權測試工具 1658.6 授權測試參考文獻 1658.7 授權測試加固措施 166第9章 會話管理測試 1679.1 會話管理架構繞過測試（OTG-SESS-001） 1679.1.1 會話管理架構繞過測試概述 1679.1.2 會話管理架構繞過測試方法 1689.2 Cookie屬性測試（OTG-SESS-002） 1739.2.1 Cookie屬性測試概述 1739.2.2 Cookie屬性測試方法 1759.3 會話固化測試（OTG-SESS-003） 1769.3.1 會話固化測試概述 1769.3.2 會話固化測試方法 1769.4 會話變量泄露測試（OTG-SESS-004） 1789.4.1 會話變量泄露測試概述 1789.4.2 會話變量泄露測試方法 1789.5 跨站偽造請求（CSRF）測試（OTG-SESS-005） 1819.5.1 跨站偽造請求（CSRF）測試概述 1819.5.2 跨站偽造請求（CSRF）測試方法 1849.6 會話管理測試工具 1859.7 會話管理測試參考文獻 1869.8 會話管理測試加固措施 188第10章 輸入驗證測試 19010.1 反射型跨站腳本測試（OTG-INPVAL-001） 19010.1.1 反射型跨站腳本測試概述 19010.1.2 反射型跨站腳本測試方法 19110.2 存儲型跨站腳本測試（OTG-INPVAL-002） 19510.2.1 存儲型跨站腳本測試概述 195