Web安全测试指南--权限管理

【Web安全测试指南--权限管理】的更多相关文章

Web安全测试指南--权限管理

垂直权限提升: 编号 Web_Author_01 用例名称垂直权限提升测试用例描述测试用户是否具有使用超越其角色范围之外的权限. 严重级别高前置条件 1. 目标系统拥有不同等级的角色和权限(比如:管理员和普通用户),并能够区分不同级别的权限角色能够访问的资源. 2. 目标web应用可访问,业务正常运行. 3. 已安装http拦截代理(burp.fiddler或webscarab均可). 执行步骤 1. 开启burp,设置对http请求进行拦截,并在浏览器中配置代理. 2. 使…

web安全开发指南--权限管理

2.1 访问控制安全规则 1 访问控制必须只能在服务器端执行. 2 只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cookie.hidden域.form和URL参数等)来做访问控制. 3 对web/应用服务器进行安全配置以防止用户对静态文件的无鉴权访问(参考附录11.6). 4 对每一个请求页面都执行严格的访问控制检查(参考附录11.2). 5 应建立集中式的权限验证接口(参考附录) 2.2 纵向越权简要描述…

Web安全测试指南--会话管理

会话复杂度: 5.3.2.会话预测: 5.3.3.会话定置: 5.3.4.CSRF: 5.3.5.会话注销: 5.3.6.会话超时:…

Web安全测试指南--认证

认证: 5.1.1.敏感数据传输: 编号 Web_Authen_01_01 用例名称敏感数据传输保密性测试用例描述测试敏感数据是否通过加密通道进行传输以防止信息泄漏. 严重级别高前置条件 1. 已明确定义出敏感数据范围(比如口令.短信验证码和身份证号等). 2. 目标web应用可访问,业务正常运行. 3. 已安装http拦截代理(burp.fiddler或webscarab均可). 执行步骤 1. 开启burp,设置对http请求进行拦截,并在浏览器中配置代理. 2. 访问w…

Web安全测试指南--文件系统

上传: 编号 Web_FileSys_01 用例名称上传功能测试用例描述测试上传功能是否对上传的文件类型做限制. 严重级别高前置条件 1. 目标web应用可访问,业务正常运行. 2. 目标系统存在上传功能,并且有权限访问使用. 3. 已安装http拦截代理(burp.fiddler或webscarab均可). 4. 目标系统使用http而不是ftp等其它方式实现上传. 5. 具有登录目标服务器后台的账户和权限. 执行步骤 1. 登录目标系统并访问具有上传功能的页面. 2. …

Web安全测试指南--信息泄露

5.4.1.源代码和注释: 编号 Web_InfoLeak_01 用例名称源代码和注释检查测试用例描述在浏览器中检查目标系统返回的页面是否存在敏感信息. 严重级别中前置条件 1. 目标web应用可访问,业务正常运行. 2. 已明确定义出敏感数据范围(比如口令.邮件和IP等). 执行步骤 1. 使用正确账户名和密码登录目标系统. 2. 访问待测试页面. 3. 在页面上点击右键,选择"查看源文件". 4. 仔细检查源文件的源码和注释是否存在定义范围的敏感数据,比如:…

Web安全开发指南--会话管理

1.会话管理 3.1.会话管理安全规则 1 避免在URL携带session id. 2 使用SSL加密通道来传输cookie. 3 避免在错误信息和调试日志中记录session id. 4 使用框架自带的或业界公认的安全函数来生成session id(参考附录11.4). 5 开发或引入无状态的模块(比如shipin7 nodejs和视频留言模块)时,应与web模块的session机制结合,防止越权或无授权攻击. 6 当使用加密通道SSL/TLS传输cookie时,为其设置“secure”属性.…