安全测试指南（第4版）

第一部分 项目概述及测试框架第1章 OWASP测试项目 21.1 OWASP测试项目概述 21.2 测试原则 51.3 测试技术说明 91.3.1 测试技术说明概述 91.3.2 人工检查及复查 91.3.3 软件威胁建模 101.3.4 代码审查 111.3.5 渗透测试 121.3.6 需要平衡的测试方法 131.3.7 关于Web应用扫描工具的注意事项 141.3.8 关于静态源代码复查工具的注意事项 151.3.9 安全测试需求推导 151.3.10 功能和非功能测试需求 181.3.11 安全测试集成于开发与测试工作流程 211.3.12 开发人员的安全测试 221.3.13 集成系统测试和操作测试 241.3.14 安全测试数据分析和报告 251.4 OWASP测试项目参考文献 28第2章 OWASP测试架构 302.1 OWASP测试架构概述 302.1.1 阶段1：开发前 312.1.2 阶段2：设计和定义阶段 312.1.3 阶段3：开发阶段 332.1.4 阶段4：部署中 332.1.5 阶段5：维护和运行 342.2 典型SDLC测试流程 34第二部分 测试方法第3章 Web应用安全测试 363.1 Web应用安全测试概述 363.2 什么是OWASP测试方法？ 37第4章 信息收集测试 394.1 搜索引擎信息搜集（OTG-INFO-001） 394.1.1 信息搜集概述 394.1.2 信息搜集测试目标 404.1.3 信息搜集测试方法 404.2 Web服务器指纹识别（OTG-INFO-002） 424.2.1 Web服务器指纹识别概述 424.2.2 Web服务器指纹识别测试目标 424.2.3 Web服务器指纹识别测试方法 434.3 审查Web服务器元文件信息泄露（OTG-INFO-003） 484.3.1 审查Web服务器元文件信息泄露概述 484.3.2 审查Web服务器元文件信息泄露测试目标 484.3.3 审查Web服务器元文件信息泄露测试方法 494.4 枚举Web服务器的应用（OTG-INFO-004） 524.4.1 枚举Web服务器的应用概述 524.4.2 枚举Web服务器的应用测试目标 534.4.3 枚举Web服务器的应用测试方法 534.5 注释和元数据信息泄露（OTG-INFO-005） 584.5.1 注释和元数据信息泄露概述 584.5.2 注释和元数据信息泄露测试目标 584.5.3 注释和元数据信息泄露测试方法 584.6 识别应用的入口（OTG-INFO-006） 604.6.1 识别应用的入口概述 604.6.2 识别应用的入口测试目标 604.6.3 识别应用的入口测试方法 604.7 映射应用程序的执行路径（OTG-INFO-007） 624.7.1 映射应用程序的执行路径概述 624.7.2 映射应用程序的执行路径测试目标 634.7.3 映射应用程序的执行路径测试方法 634.8 识别Web应用框架（OTG-INFO-008） 644.8.1 识别Web应用框架概述 644.8.2 识别Web应用框架测试目标 654.8.3 识别Web应用框架测试方法 654.9 识别Web应用程序（OTG-INFO-009） 694.9.1 识别Web应用程序概述 694.9.2 识别Web应用程序测试目标 694.9.3 识别Web应用程序测试方法 694.10 映射应用架构（OTG-INFO-010） 734.10.1 映射应用架构概述 734.10.2 映射应用架构测试方法 734.10.3 防护Web服务器示例 744.11 信息收集测试工具 754.12 信息收集测试参考文献 814.13 信息收集测试加固措施 83第5章 配置管理测试 875.1 网络和基础设施配置测试（OTG-CONFIG-001） 875.1.1 网络和基础设施配置测试概述 875.1.2 网络和基础设施配置测试方法 885.2 应用平台配置测试（OTG-CONFIG-002） 895.2.1 应用平台配置测试概述 895.2.2 应用平台配置测试方法 895.3 敏感信息文件扩展处理测试（OTG-CONFIG-003） 945.3.1 敏感信息文件扩展处理测试概述 945.3.2 敏感信息文件扩展处理测试方法 955.4 对旧文件、备份和未被引用文件的敏感信息的审查（OTG-CONFIG-004） 965.4.1 对旧文件、备份和未被引用文件的敏感信息的审查概述 965.4.2 对旧文件、备份和未被引用文件的敏感信息产生的威胁 975.4.3 对旧文件、备份和未被引用文件的敏感信息的测试方法 985.5 枚举基础设施和应用程序管理界面（OTG-CONFIG-005） 1015.5.1 枚举基础设施和应用程序管理界面概述 1015.5.2 枚举基础设施和应用程序管理界面测试方法 1025.6 HTTP方法测试（OTG-CONFIG-006） 1035.6.1 HTTP方法测试概述 1035.6.2 任意的HTTP方法 1045.6.3 HTTP方法测试方法 1045.7 HTTP强制安全传输测试（OTG-CONFIG-007） 1085.7.1 HTTP强制安全传输测试概述 1085.7.2 HTTP强制安全传输测试方法 1085.8 RIA跨域策略测试（OTG-CONFIG-008） 1095.8.1 RIA跨域策略测试概述 1095.8.2 跨域策略测试方法 1105.9 配置部署管理测试工具 1115.10 配置部署管理测试参考文献 1135.11 配置部署管理测试加固措施 116第6章 身份管理测试 1176.1 角色定义测试（OTG-IDENT-001） 1176.1.1 角色定义测试概述 1176.1.2 角色定义测试目标 1176.1.3 角色定义测试方法 1186.2 用户注册流程测试（OTG-IDENT-002） 1186.2.1 用户注册流程测试概述 1186.2.2 用户注册流程测试目标 1186.2.3 用户注册流程测试方法 1196.3 账户配置过程测试（OTG-IDENT-003） 1206.3.1 账户配置过程测试概述 1206.3.2 账户配置过程测试测试目标 1206.3.3 账户配置过程测试测试方法 1206.4 账户枚举和可猜测的用户账户测试（OTG-IDENT-004） 1216.4.1 账户枚举和可猜测的用户账户测试概述 1216.4.2 账户枚举和可猜测的用户账户测试方法 1226.5 弱的或未实施的用户策略测试（OTG-IDENT-005） 1266.5.1 弱的或未实施的用户策略测试概述 1266.5.2 弱的或未实施的用户策略测试目标 1266.5.3 弱的或未实施的用户策略测试方法 1266.6 身份管理测试工具 1266.7 身份管理测试参考文献 1276.8 身份管理测试加固措施 128第7章 认证测试 1297.1 凭证在加密通道中的传输测试（OTG-AUTHN-001） 1297.1.1 凭证在加密通道中的传输测试概述 1297.1.2 凭证在加密通道中的传输测试方法 1307.2 默认用户凭证测试（OTG-AUTHN-002） 1337.2.1 默认用户凭证测试概述 1337.2.2 默认用户凭证测试方法 1337.3 弱锁定机制测试（OTG-AUTHN-003） 1367.3.1 弱锁定机制测试概述 1367.3.2 弱锁定机制测试目标 1367.3.3 弱锁定机制测试方法 1367.4 认证模式绕过测试（OTG-AUTHN-004） 1387.4.1 认证模式绕过测试概述 1387.4.2 认证模式绕过测试方法 1387.5 记忆密码功能存在威胁测试（OTG-AUTHN-005） 1427.5.1 记忆密码功能存在威胁测试概述 1427.5.2 记忆密码功能存在威胁测试方法 1437.6 浏览器缓存威胁测试（OTG-AUTHN-006） 1437.6.1 浏览器缓存威胁测试概述 1437.6.2 浏览器缓存威胁测试方法 1447.7 弱密码策略测试（OTG-AUTHN-007） 1457.7.1 弱密码策略测试概述 1457.7.2 弱密码策略测试目标 1457.7.3 弱密码策略测试方法 1467.8 弱安全问答测试（OTG-AUTHN-008） 1467.8.1 弱安全问答测试概述 1467.8.2 弱安全问答测试方法 1477.9 弱密码的更改或重设功能测试（OTG-AUTHN-009） 1487.9.1 弱密码的更改或重设功能测试概述 1487.9.2 弱密码的更改或重设功能测试目标 1487.9.3 弱密码的更改或重设功能测试方法 1487.10 在辅助信道中较弱认证测试（OTG-AUTHN-010） 1507.10.1 在辅助信道中较弱认证测试概述 1507.10.2 在辅助信道中较弱认证测试示例 1517.10.3 在辅助信道中较弱认证测试方法 1517.10.4 关联的测试用例 1527.11 认证测试工具 1527.12 认证测试参考文献 1537.13 认证测试加固措施 155第8章 授权测试 1568.1 目录遍历/文件包含测试（OTG-AUTHZ-001） 1568.1.1 目录遍历/文件包含测试概述 1568.1.2 目录遍历/文件包含测试方法 1578.2 绕过授权模式测试（OTG-AUTHZ-002） 1608.2.1 绕过授权模式测试概述 1608.2.2 绕过授权模式测试方法 1618.3 权限提升测试（OTG-AUTHZ-003） 1618.3.1 权限提升测试概述 1618.3.2 权限提升测试方法 1628.4 不安全对象引用测试（OTG-AUTHZ-004） 1638.4.1 不安全对象引用测试概述 1638.4.2 不安全对象引用测试方法 1638.5 授权测试工具 1658.6 授权测试参考文献 1658.7 授权测试加固措施 166第9章 会话管理测试 1679.1 会话管理架构绕过测试（OTG-SESS-001） 1679.1.1 会话管理架构绕过测试概述 1679.1.2 会话管理架构绕过测试方法 1689.2 Cookie属性测试（OTG-SESS-002） 1739.2.1 Cookie属性测试概述 1739.2.2 Cookie属性测试方法 1759.3 会话固化测试（OTG-SESS-003） 1769.3.1 会话固化测试概述 1769.3.2 会话固化测试方法 1769.4 会话变量泄露测试（OTG-SESS-004） 1789.4.1 会话变量泄露测试概述 1789.4.2 会话变量泄露测试方法 1789.5 跨站伪造请求（CSRF）测试（OTG-SESS-005） 1819.5.1 跨站伪造请求（CSRF）测试概述 1819.5.2 跨站伪造请求（CSRF）测试方法 1849.6 会话管理测试工具 1859.7 会话管理测试参考文献 1869.8 会话管理测试加固措施 188第10章 输入验证测试 19010.1 反射型跨站脚本测试（OTG-INPVAL-001） 19010.1.1 反射型跨站脚本测试概述 19010.1.2 反射型跨站脚本测试方法 19110.2 存储型跨站脚本测试（OTG-INPVAL-002） 19510.2.1 存储型跨站脚本测试概述 195