5.4.1、源代码和注释:

编号

Web_InfoLeak_01

用例名称

源代码和注释检查测试

用例描述

在浏览器中检查目标系统返回的页面是否存在敏感信息。

严重级别

前置条件

1、  目标web应用可访问,业务正常运行。

2、  已明确定义出敏感数据范围(比如口令、邮件和IP等)。

执行步骤

1、  使用正确账户名和密码登录目标系统。

2、  访问待测试页面。

3、  在页面上点击右键,选择“查看源文件”。

4、  仔细检查源文件的源码和注释是否存在定义范围的敏感数据,比如:

<!-- the DB administrator password: f@keP@a$$w0rD -->

预期结果

源文件中没有发现敏感数据。

测试结果

 

备注

本用例亦可以使用人工结合自动化的方式减少工作量,即先定义敏感数据范围,然后使用http代理或者爬虫在http响应中匹配敏感数据。比如:

l  可以在http响应中使用正则匹配邮件、IP等敏感数据。

l  可以搜集一组常用的关键字,比如:password,或者开发人员常用的密码(可以向开发人员获取),并在http响应中进行匹配。

但人工审计有时候有时候会有意外发现,可根据实际需求执行。

5.4.2、日志审计:

编号

Web_InfoLeak_02

用例名称

日志审计测试

用例描述

审计日志是否记录敏感数据。

严重级别

前置条件

1、  目标web应用可访问,业务正常运行。

2、  目标系统存在日志系统。

3、  拥有访问日志的权限。

4、  已明确定义出敏感数据范围(比如口令、短信验证码和session id等)。

执行步骤

1、  获取web服务器或各种应用日志。

2、  打开search and replace,在“路径”选项中定位存放日志的目录。

3、  在“搜索”栏中输入定义好的敏感数据关键字,比如:password、开发常用的密码等等。

4、  检查搜索出来的结果是否存在敏感数据(比如:口令,session id等)。

5、  使用文本编辑软件(比如:notepad)分别打开各个日志文件,并仔细检查是否存在敏感数据。

预期结果

日志中没有发现敏感数据。

测试结果

 

备注

步骤3同样可以使用程序自动匹配。但search and replace有更加直观的上下文进行误报排查,并且人工审计往往有意外发现,建议使用此方式。

Web安全测试指南--信息泄露的更多相关文章

  1. Windows2008 r2“Web服务器HTTP头信息泄露”漏洞修复

    一.漏洞名称 漏洞名称 漏洞摘要 修复建议 Web服务器HTTP头信息泄露 远程Web服务器通过HTTP头公开信息. 修改Web服务器的HTTP头以不公开有关底层Web服务器的详细信息. 说明:在ii ...

  2. Web安全测试指南--文件系统

    上传: 编号 Web_FileSys_01 用例名称 上传功能测试 用例描述 测试上传功能是否对上传的文件类型做限制. 严重级别 高 前置条件 1.  目标web应用可访问,业务正常运行. 2.  目 ...

  3. Web安全测试指南--认证

    认证: 5.1.1.敏感数据传输: 编号 Web_Authen_01_01 用例名称 敏感数据传输保密性测试 用例描述 测试敏感数据是否通过加密通道进行传输以防止信息泄漏. 严重级别 高 前置条件 1 ...

  4. Web安全测试指南--权限管理

    垂直权限提升: 编号 Web_Author_01 用例名称 垂直权限提升测试 用例描述 测试用户是否具有使用超越其角色范围之外的权限. 严重级别 高 前置条件 1.  目标系统拥有不同等级的角色和权限 ...

  5. Web安全测试指南--会话管理

    会话复杂度: 5.3.2.会话预测: 5.3.3.会话定置: 5.3.4.CSRF: 5.3.5.会话注销: 5.3.6.会话超时:

  6. 转载过来的参考内容---常规36个WEB渗透测试漏洞描述及修复方法----很详细

        常规WEB渗透测试漏洞描述及修复 --转自:http://www.51testing.com/html/92/n-3723692.html (1). Apache样例文件泄漏 漏洞描述 apa ...

  7. 安全测试 WEB安全测试手册

    WEB安全测试手册 By:授客 QQ:1033553122 欢迎加入软件性能测试交流QQ群:7156436 概述 Ø          目的 Ø          适用读者 Ø          适用 ...

  8. MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试

    MS10-070 ASP.NET Padding Oracle信息泄露漏洞1         漏洞描述:ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞.成功利用此漏洞的攻击 ...

  9. axis1,xfire,jUnit 测试案列+开Web Service开发指南+axis1.jar下载 代码

    axis1,xfire,jUnit 测试案列+Web Service开发指南(中).pdf+axis1.jar下载    代码 项目和资源文档+jar 下载:http://download.csdn. ...

随机推荐

  1. ifa_local 和 ifa_address

    ifa_local 和 ifa_address区别联系: 1. 在配置了支持广播的接口上,与IFA_LOCAL一样,同样表示本地ip地址: 2. 对于点对点链路,IFA_ADDRESS表示的是对端的地 ...

  2. AJAX 核心 —— XMLHTTPRequest 对象回顾

    一.AJAX概述 不使用 AJAX 的网页,如果要更新内容,需要重载整个页面. AJAX ( Asynchronous Javascript And XML ,异步 Javascript 和 XML) ...

  3. java===java习题---Josephu问题

    package testbotoo; /** * * @author */ public class Demo4 { public static void main(String[] args) { ...

  4. python基础===字符串切片

    字符串的子串可以通过切片标志来表示:两个由冒号隔开的索引. >>> word 'HelpA' >>> word[4] 'A' >>> word[0 ...

  5. 2015多校第6场 HDU 5353 Average 贪心,细节处理

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5353 题意:有n个人围城一个环,每一个人手里都有一些糖果,第i个人有ai块.现在有三种操作:第i个人给 ...

  6. .build_release/lib/libcaffe.so: undefined reference to `cv::VideoCapture::set(int, double)'

    CXX/LD -o .build_release/tools/convert_imageset.bin.build_release/lib/libcaffe.so: undefined referen ...

  7. .net设置浏览器的文本模式

    这段时间做个项目,做的时候因为之前习惯了Google的调试方式,所以就一直在google上面调试,今天项目成员大家的部分要整合,就放到ie8下面测试,但是遇到一个问题,就是用ie打开之后文本模式一直是 ...

  8. Sql中把datetime转换成字符串(CONVERT)(转)

    一.回顾一下CONVERT()的语法格式: CONVERT (<data_ type>[ length ], <expression> [, style]) 二.这里注重说明一 ...

  9. openstack前期准备

    . 两台虚拟机,安装Centos7系统 两个网卡 -- 一个NAT模式,一个仅主机模式 两个硬盘 -- 一个20GB,一个50GB 内存 -- 主 .6GB(根据自己的配置,大于2G即可) 从 1.6 ...

  10. Google Guice 之绑定1

    绑定和依赖注入区别 绑定,使用时 需要通过 injector 显示获取 依赖注入,只需要显示获取主类,他的依赖是通过@Injector 和 绑定关系 隐式注入的 http://blog.csdn.ne ...