上传: 编号 Web_FileSys_01 用例名称 上传功能测试 用例描述 测试上传功能是否对上传的文件类型做限制. 严重级别 高 前置条件 1.  目标web应用可访问,业务正常运行. 2.  目标系统存在上传功能,并且有权限访问使用. 3.  已安装http拦截代理(burp.fiddler或webscarab均可). 4.  目标系统使用http而不是ftp等其它方式实现上传. 5.  具有登录目标服务器后台的账户和权限. 执行步骤 1.  登录目标系统并访问具有上传功能的页面. 2. …

认证: 5.1.1.敏感数据传输: 编号 Web_Authen_01_01 用例名称 敏感数据传输保密性测试 用例描述 测试敏感数据是否通过加密通道进行传输以防止信息泄漏. 严重级别 高 前置条件 1.  已明确定义出敏感数据范围(比如口令.短信验证码和身份证号等). 2.  目标web应用可访问,业务正常运行. 3.  已安装http拦截代理(burp.fiddler或webscarab均可). 执行步骤 1.  开启burp,设置对http请求进行拦截,并在浏览器中配置代理. 2.  访问w…

6.1.上传文件功能 简要描述 文件上传漏洞是由于文件上传功能实现代码没有对用户上传的文件进行正确处理,导致允许攻击者向服务某个目录上传文件. 解决方案 上传文件功能只对登录用户开放: 同时通过文件头和文件扩展名来判断文件类型: 判断文件类型时尽量使用黑名单的方式,可以使用较粗粒度方式,比如过滤".php"字串(忽略大小写)来防止php文件的上传: 过滤上传路径或文件名中的NULL字符,防止NULL字符截断: 如果上传的文件为图片,可对图片进行压缩处理再存储: 不要将上传文件的绝对路径…

5.4.1.源代码和注释: 编号 Web_InfoLeak_01 用例名称 源代码和注释检查测试 用例描述 在浏览器中检查目标系统返回的页面是否存在敏感信息. 严重级别 中 前置条件 1.  目标web应用可访问,业务正常运行. 2.  已明确定义出敏感数据范围(比如口令.邮件和IP等). 执行步骤 1.  使用正确账户名和密码登录目标系统. 2.  访问待测试页面. 3.  在页面上点击右键,选择"查看源文件". 4.  仔细检查源文件的源码和注释是否存在定义范围的敏感数据,比如:…

垂直权限提升: 编号 Web_Author_01 用例名称 垂直权限提升测试 用例描述 测试用户是否具有使用超越其角色范围之外的权限. 严重级别 高 前置条件 1.  目标系统拥有不同等级的角色和权限(比如:管理员和普通用户),并能够区分不同级别的权限角色能够访问的资源. 2.  目标web应用可访问,业务正常运行. 3.  已安装http拦截代理(burp.fiddler或webscarab均可). 执行步骤 1.  开启burp,设置对http请求进行拦截,并在浏览器中配置代理. 2.  使…

会话复杂度: 5.3.2.会话预测: 5.3.3.会话定置: 5.3.4.CSRF: 5.3.5.会话注销: 5.3.6.会话超时:…

axis1,xfire,jUnit 测试案列+Web Service开发指南(中).pdf+axis1.jar下载    代码 项目和资源文档+jar 下载:http://download.csdn.net/detail/liangrui1988/5810873 项目内容: 部分主要代码: axis1: package com.webservice.test; /** * @author liangrui * 1:把axis-bin-1_4.zip 解压后的axis文件拷贝到tomcat web…

OWASP固件安全性测试指南 固件安全评估,英文名称 firmware security testing methodology 简称 FSTM.该指导方法主要是为了安全研究人员.软件开发人员.顾问.爱好者和信息安全专业人员进行固件安全评估. 前景 我们基于 FSTM 进行测试流程如下: id 阶段 描述 1 信息收集 固件的相关技术文档的详细使用说明 2 获取固件 使用本文中介绍的多种办法获取固件 3 分析固件 固件的功能.特性 4 提取文件系统 从固件中获取文件系统 5 分析文件系统内容 静…

Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患.相关的防御技巧以及Web API提供的安全机制. 目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication and Session Management) 3. 跨站脚本(Cross-Site Scripting (XSS))…

安全检测的工具站点:https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患.相关的防御技巧以及Web API提供的安全机制. 目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Br…