,目前缺少相应的理论和方法支撑。为此,我们制定《Web 安全测试规范》,本规范可让测试人员针对Web常见安全漏洞或攻击方式,系统的对被测Web系统进行快速安全性测试。Р适用读者Р本规范的读者及使用对象主要为Web相关的测试人员、开发人员、专职的安全测试评估人员等。Р适用范围Р本规范主要针对基于通用服务器的Web应用系统,其他Web系统也可以参考,如基于嵌入式系统的Web维护接口等。Р如下图例说明了一种典型的基于通用服务器的Web应用系统:РWeb应用Р应用服务器РUniportalРJBossР……Р客户端РWeb服务器РIISРApacheР……Р数据库服务器РOracleРDB2Р……Р本规范中的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最佳安全实践,涵盖Web安全开发规范的内容。Р安全测试在IPD流程中所处的位置Р一般建议在TR4前根据产品实现架构及安全需求,完成Web安全性测试需求分析和测试设计,准备好Web安全测试用例。Р在TR4版本正式转测试后,即可进行Web安全测试。如果产品质量不稳定,前期功能性问题较多,则可适当推后Web安全测试执行,但最迟不得超过TR5。Р安全测试与安全风险评估的关系说明Р安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性及严重程度。其中威胁(Threat)是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。脆弱性(Vulnerability)也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性达到破坏系统安全运行的目的。Р本规范所描述的安全测试仅是安全风险评估中的一个活动,对应于安全风险评估过程中的脆弱性识别部分,特别是技术性的脆弱性识别。Р完整的安全风险评估过程、概念见GB/T 20984-2007《信息安全技术信息安全风险评估规范》
全文预览
