安全測試指南（第4版）

作 譯 者：（美國）OWASP基金會

出版時間：2016-07 千 字 數：739

版 次：01-01 頁 數：484

開 本：16開

裝 幀：

I S B N ：9787121292088

軟體安全問題也許是這個時代面臨的最為重要的技術挑戰。Web應用程式讓業務、社交等網路活動飛速發展，這同時也加劇了它們對軟體安全的要求。我們急需建立一個強大的方法來編寫和保護我們的網際網路、Web應用程式和數據，並基於工程和科學的原則，用一致的、可重複的和定義的方法來測試軟體安全問題。本書正是實現這個目標的重要一步，作為一本安全測試指南，詳細講解了Web套用測試的“4W1H”，即“什麼是測試”、“為什麼要測試”、“什麼時間測試”、“測試哪裡”以及“如何測試”。本書適合高等院校計算機相關專業師生閱讀，也適合廣大軟體開發人員、測試人員以及所有對軟體安全問題感興趣的讀者閱讀。

第一部分 項目概述及測試框架

第1章 OWASP測試項目 2

1.1 OWASP測試項目概述 2

1.2 測試原則 5

1.3 測試技術說明 9

1.3.1 測試技術說明概述 9

1.3.2 人工檢查及複查 9

1.3.3 軟體威脅建模 10

1.3.4 代碼審查 11

1.3.5 滲透測試 12

1.3.6 需要平衡的測試方法 13

1.3.7 關於Web套用掃描工具的注意事項 14

1.3.8 關於靜態原始碼複查工具的注意事項 15

1.3.9 安全測試需求推導 15

1.3.10 功能和非功能測試需求 18

1.3.11 安全測試集成於開發與測試工作流程 21

1.3.12 開發人員的安全測試 22

1.3.13 集成系統測試和操作測試 24

1.3.14 安全測試數據分析和報告 25

1.4 OWASP測試項目參考文獻 28

第2章 OWASP測試架構 30

2.1 OWASP測試架構概述 30

2.1.1 階段1：開發前 31

2.1.2 階段2：設計和定義階段 31

2.1.3 階段3：開發階段 33

2.1.4 階段4：部署中 33

2.1.5 階段5：維護和運行 34

2.2 典型SDLC測試流程 34

第二部分 測試方法

第3章 Web套用安全測試 36

3.1 Web套用安全測試概述 36

3.2 什麼是OWASP測試方法？ 37

第4章 信息收集測試 39

4.1 搜尋引擎信息蒐集（OTG-INFO-001） 39

4.1.1 信息蒐集概述 39

4.1.2 信息蒐集測試目標 40

4.1.3 信息蒐集測試方法 40

4.2 Web伺服器指紋識別（OTG-INFO-002） 42

4.2.1 Web伺服器指紋識別概述 42

4.2.2 Web伺服器指紋識別測試目標 42

4.2.3 Web伺服器指紋識別測試方法 43

4.3 審查Web伺服器元檔案信息泄露（OTG-INFO-003） 48

4.3.1 審查Web伺服器元檔案信息泄露概述 48

4.3.2 審查Web伺服器元檔案信息泄露測試目標 48

4.3.3 審查Web伺服器元檔案信息泄露測試方法 49

4.4 枚舉Web伺服器的套用（OTG-INFO-004） 52

4.4.1 枚舉Web伺服器的套用概述 52

4.4.2 枚舉Web伺服器的套用測試目標 53

4.4.3 枚舉Web伺服器的套用測試方法 53

4.5 注釋和元數據信息泄露（OTG-INFO-005） 58

4.5.1 注釋和元數據信息泄露概述 58

4.5.2 注釋和元數據信息泄露測試目標 58

4.5.3 注釋和元數據信息泄露測試方法 58

4.6 識別套用的入口（OTG-INFO-006） 60

4.6.1 識別套用的入口概述 60

4.6.2 識別套用的入口測試目標 60

4.6.3 識別套用的入口測試方法 60

4.7 映射應用程式的執行路徑（OTG-INFO-007） 62

4.7.1 映射應用程式的執行路徑概述 62

4.7.2 映射應用程式的執行路徑測試目標 63

4.7.3 映射應用程式的執行路徑測試方法 63

4.8 識別Web套用框架（OTG-INFO-008） 64

4.8.1 識別Web套用框架概述 64

4.8.2 識別Web套用框架測試目標 65

4.8.3 識別Web套用框架測試方法 65

4.9 識別Web應用程式（OTG-INFO-009） 69

4.9.1 識別Web應用程式概述 69

4.9.2 識別Web應用程式測試目標 69

4.9.3 識別Web應用程式測試方法 69

4.10 映射套用架構（OTG-INFO-010） 73

4.10.1 映射套用架構概述 73

4.10.2 映射套用架構測試方法 73

4.10.3 防護Web伺服器示例 74

4.11 信息收集測試工具 75

4.12 信息收集測試參考文獻 81

4.13 信息收集測試加固措施 83

第5章 配置管理測試 87

5.1 網路和基礎設施配置測試（OTG-CONFIG-001） 87

5.1.1 網路和基礎設施配置測試概述 87

5.1.2 網路和基礎設施配置測試方法 88

5.2 套用平台配置測試（OTG-CONFIG-002） 89

5.2.1 套用平台配置測試概述 89

5.2.2 套用平台配置測試方法 89

5.3 敏感信息檔案擴展處理測試（OTG-CONFIG-003） 94

5.3.1 敏感信息檔案擴展處理測試概述 94

5.3.2 敏感信息檔案擴展處理測試方法 95

5.4 對舊檔案、備份和未被引用檔案的敏感信息的審查（OTG-CONFIG-004） 96

5.4.1 對舊檔案、備份和未被引用檔案的敏感信息的審查概述 96

5.4.2 對舊檔案、備份和未被引用檔案的敏感信息產生的威脅 97

5.4.3 對舊檔案、備份和未被引用檔案的敏感信息的測試方法 98

5.5 枚舉基礎設施和應用程式管理界面（OTG-CONFIG-005） 101

5.5.1 枚舉基礎設施和應用程式管理界面概述 101

5.5.2 枚舉基礎設施和應用程式管理界面測試方法 102

5.6 HTTP方法測試（OTG-CONFIG-006） 103

5.6.1 HTTP方法測試概述 103

5.6.2 任意的HTTP方法 104

5.6.3 HTTP方法測試方法 104

5.7 HTTP強制安全傳輸測試（OTG-CONFIG-007） 108

5.7.1 HTTP強制安全傳輸測試概述 108

5.7.2 HTTP強制安全傳輸測試方法 108

5.8 RIA跨域策略測試（OTG-CONFIG-008） 109

5.8.1 RIA跨域策略測試概述 109

5.8.2 跨域策略測試方法 110

5.9 配置部署管理測試工具 111

5.10 配置部署管理測試參考文獻 113

5.11 配置部署管理測試加固措施 116

第6章 身份管理測試 117

6.1 角色定義測試（OTG-IDENT-001） 117

6.1.1 角色定義測試概述 117

6.1.2 角色定義測試目標 117

6.1.3 角色定義測試方法 118

6.2 用戶註冊流程測試（OTG-IDENT-002） 118

6.2.1 用戶註冊流程測試概述 118

6.2.2 用戶註冊流程測試目標 118

6.2.3 用戶註冊流程測試方法 119

6.3 賬戶配置過程測試（OTG-IDENT-003） 120

6.3.1 賬戶配置過程測試概述 120

6.3.2 賬戶配置過程測試測試目標 120

6.3.3 賬戶配置過程測試測試方法 120

6.4 賬戶枚舉和可猜測的用戶賬戶測試（OTG-IDENT-004） 121

6.4.1 賬戶枚舉和可猜測的用戶賬戶測試概述 121

6.4.2 賬戶枚舉和可猜測的用戶賬戶測試方法 122

6.5 弱的或未實施的用戶策略測試（OTG-IDENT-005） 126

6.5.1 弱的或未實施的用戶策略測試概述 126

6.5.2 弱的或未實施的用戶策略測試目標 126

6.5.3 弱的或未實施的用戶策略測試方法 126

6.6 身份管理測試工具 126

6.7 身份管理測試參考文獻 127

6.8 身份管理測試加固措施 128

第7章 認證測試 129

7.1 憑證在加密通道中的傳輸測試（OTG-AUTHN-001） 129

7.1.1 憑證在加密通道中的傳輸測試概述 129

7.1.2 憑證在加密通道中的傳輸測試方法 130

7.2 默認用戶憑證測試（OTG-AUTHN-002） 133

7.2.1 默認用戶憑證測試概述 133

7.2.2 默認用戶憑證測試方法 133

7.3 弱鎖定機制測試（OTG-AUTHN-003） 136

7.3.1 弱鎖定機制測試概述 136

7.3.2 弱鎖定機制測試目標 136

7.3.3 弱鎖定機制測試方法 136

7.4 認證模式繞過測試（OTG-AUTHN-004） 138

7.4.1 認證模式繞過測試概述 138

7.4.2 認證模式繞過測試方法 138

7.5 記憶密碼功能存在威脅測試（OTG-AUTHN-005） 142

7.5.1 記憶密碼功能存在威脅測試概述 142

7.5.2 記憶密碼功能存在威脅測試方法 143

7.6 瀏覽器快取威脅測試（OTG-AUTHN-006） 143

7.6.1 瀏覽器快取威脅測試概述 143

7.6.2 瀏覽器快取威脅測試方法 144

7.7 弱密碼策略測試（OTG-AUTHN-007） 145

7.7.1 弱密碼策略測試概述 145

7.7.2 弱密碼策略測試目標 145

7.7.3 弱密碼策略測試方法 146

7.8 弱安全問答測試（OTG-AUTHN-008） 146

7.8.1 弱安全問答測試概述 146

7.8.2 弱安全問答測試方法 147

7.9 弱密碼的更改或重設功能測試（OTG-AUTHN-009） 148

7.9.1 弱密碼的更改或重設功能測試概述 148

7.9.2 弱密碼的更改或重設功能測試目標 148

7.9.3 弱密碼的更改或重設功能測試方法 148

7.10 在輔助信道中較弱認證測試（OTG-AUTHN-010） 150

7.10.1 在輔助信道中較弱認證測試概述 150

7.10.2 在輔助信道中較弱認證測試示例 151

7.10.3 在輔助信道中較弱認證測試方法 151

7.10.4 關聯的測試用例 152

7.11 認證測試工具 152

7.12 認證測試參考文獻 153

7.13 認證測試加固措施 155

第8章 授權測試 156

8.1 目錄遍歷/檔案包含測試（OTG-AUTHZ-001） 156

8.1.1 目錄遍歷/檔案包含測試概述 156

8.1.2 目錄遍歷/檔案包含測試方法 157

8.2 繞過授權模式測試（OTG-AUTHZ-002） 160

8.2.1 繞過授權模式測試概述 160

8.2.2 繞過授權模式測試方法 161

8.3 許可權提升測試（OTG-AUTHZ-003） 161

8.3.1 許可權提升測試概述 161

8.3.2 許可權提升測試方法 162

8.4 不安全對象引用測試（OTG-AUTHZ-004） 163

8.4.1 不安全對象引用測試概述 163

8.4.2 不安全對象引用測試方法 163

8.5 授權測試工具 165

8.6 授權測試參考文獻 165

8.7 授權測試加固措施 166

第9章 會話管理測試 167

9.1 會話管理架構繞過測試（OTG-SESS-001） 167

9.1.1 會話管理架構繞過測試概述 167

9.1.2 會話管理架構繞過測試方法 168

9.2 Cookie屬性測試（OTG-SESS-002） 173

9.2.1 Cookie屬性測試概述 173

9.2.2 Cookie屬性測試方法 175

9.3 會話固化測試（OTG-SESS-003） 176

9.3.1 會話固化測試概述 176

9.3.2 會話固化測試方法 176

9.4 會話變數泄露測試（OTG-SESS-004） 178

9.4.1 會話變數泄露測試概述 178

9.4.2 會話變數泄露測試方法 178

9.5 跨站偽造請求（CSRF）測試（OTG-SESS-005） 181

9.5.1 跨站偽造請求（CSRF）測試概述 181

9.5.2 跨站偽造請求（CSRF）測試方法 184

9.6 會話管理測試工具 185

9.7 會話管理測試參考文獻 186

9.8 會話管理測試加固措施 188

第10章 輸入驗證測試 190

10.1 反射型跨站腳本測試（OTG-INPVAL-001） 190

10.1.1 反射型跨站腳本測試概述 190

10.1.2 反射型跨站腳本測試方法 191

10.2 存儲型跨站腳本測試（OTG-INPVAL-002） 195

10.2.1 存儲型跨站腳本測試概述 195

10.2.2 存儲型跨站腳本測試方法 196

10.3 HTTP方法篡改測試（OTG-INPVAL-003） 200

10.3.1 HTTP方法篡改測試概述 200

10.3.2 方法篡改測試方法 201

10.4 HTTP參數污染測試（OTG-INPVAL-004） 203

10.4.1 參數污染測試概述 203

10.4.2 參數污染測試方法 205

10.5 SQL注入測試（OTG-INPVAL-005） 207

10.5.1 SQL注入測試概述 207

10.5.2 注入測試方法 208

10.6 LDAP測試（OTG-INPVAL-006） 245

10.6.1 LDAP測試概述 245

10.6.2 LDAP測試方法 246

10.7 ORM注入測試（OTG-INPVAL-007） 247

10.7.1 ORM注入測試概述 247

10.7.2 ORM注入測試方法 247

10.8 XML注入測試（OTG-INPVAL-008） 248

10.8.1 XML注入測試概述 248

10.8.2 XML注入測試方法 248

10.8.3 發現漏洞 250

10.9 SSI注入測試（OTG-INPVAL-009） 255

10.9.1 SSI注入測試概述 255

10.9.2 SSI注入測試方法 256

10.10 XPath注入測試（OTG-INPVAL-010） 257

10.10.1 XPath注入測試概述 257

10.10.2 XPath注入測試方法 258

10.11 IMAP/SMTP注入測試（OTG-INPVAL-011） 259

10.11.1 IMAP/SMTP注入測試概述 259

10.11.2 IMAP/SMTP注入測試方法 260

10.12 代碼注入測試（OTG-INPVAL-012） 263

10.12.1 代碼注入測試概述 263

10.12.2 代碼注入測試方法 264

10.13 命令注入測試（OTG-INPVAL-013） 266

10.13.1 命令注入測試概述 266

10.13.2 命令注入測試方法 267

10.14 緩衝區溢出測試（OTG-INPVAL-014） 269

10.14.1 緩衝區溢出測試概述 269

10.14.2 緩衝區溢出測試方法 269

10.15 潛伏式漏洞測試（OTG-INPVAL-015） 278

10.15.1 潛伏式漏洞測試概述 278

10.15.2 潛伏式漏洞測試方法 279

10.16 HTTP拆分/走私測試(OTG-INPVAL-016) 281

10.16.1 HTTP拆分/走私測試概述 281

10.16.2 HTTP拆分/走私測試方法 282

10.17 輸入驗證測試工具 285

10.18 輸入驗證測試參考文獻 290

10.19 輸入驗證測試加固措施 297

第11章 錯誤處理測試 300

11.1 報錯信息測試（OTG-ERR-001） 300

11.1.1 報錯信息測試概述 300

11.1.2 報錯信息測試方法 302

11.2 堆疊軌跡測試（OTG-ERR-002） 305

11.2.1 堆疊軌跡測試概述 305

11.2.2 堆疊軌跡測試方法 306

11.3 錯誤處理測試工具 306

11.4 錯誤處理測試參考文獻 307

11.5 錯誤處理測試加固措施 307

?

第12章 加密體系脆弱性測試 310

12.1 SSL/TLS弱加密、傳輸層協定缺陷測試（OTG-CRYPST-001） 310

12.1.1 SSL/TLS弱加密、傳輸層協定缺陷測試概述 310

12.1.2 SSL/TLS弱加密、傳輸層協定缺陷測試方法 313

12.2 Padding Oracle攻擊測試（OTG-CRYPST-002） 342

12.2.1 Padding Oracle攻擊測試概述 342

12.2.2 Padding Oracle攻擊測試方法 343

12.3 通過未加密信道傳送敏感數據測試（OTG-CRYPST-003） 344

12.3.1 通過未加密信道傳送敏感數據測試概述 344

12.3.2 通過未加密信道傳送敏感數據測試方法 345

12.4 加密體系脆弱性測試工具 347

12.5 加密體系脆弱性參考文獻 348

12.6 加密體系脆弱性加固措施（無） 351

第13章 業務邏輯測試 352

13.1 業務邏輯數據驗證測試（OTG-BUSLOGIC-001） 354

13.1.1 業務邏輯數據驗證測試概述 354

13.1.2 業務邏輯數據驗證測試示例 355

13.1.3 業務邏輯數據驗證測試方法 355

13.2 偽造請求的測試（OTG-BUSLOGIC-002） 356

13.2.1 偽造請求的測試概述 356

13.2.2 偽造請求的測試示例 357

13.2.3 偽造請求的測試方法 357

13.3 完整性檢查測試（OTG-BUSLOGIC-003） 358

13.3.1 完整性檢查測試概述 358

13.3.2 完整性檢查測試示例 359

13.3.3 完整性檢查測試方法 359

13.4 處理耗時測試（OTG-BUSLOGIC-004） 360

13.4.1 處理耗時測試概述 360

13.4.2 處理耗時測試示例 361

13.4.3 處理耗時測試方法 361

13.5 功能使用次數限制（OTG-BUSLOGIC-005） 361

13.5.1 功能使用次數限制概述 361

13.5.2 功能使用次數限制示例 362

13.5.3 功能使用次數限制測試方法 362

?

13.6 工作流程逃逸的測試（OTG-BUSLOGIC-006） 362

13.6.1 工作流程逃逸的測試概述 362

13.6.2 工作流程逃逸的測試示例 363

13.6.3 工作流程逃逸的測試方法 363

13.7 防禦應用程式濫用測試（OTG-BUSLOGIC-007） 364

13.7.1 防禦應用程式濫用測試概述 364

13.7.2 防禦應用程式濫用測試示例 364

13.7.3 防禦應用程式濫用測試方法 365

13.8 意外檔案類型上傳測試（OTG-BUSLOGIC-008） 366

13.8.1 意外檔案類型上傳測試概述 366

13.8.2 意外檔案類型上傳測試示例 367

13.8.3 意外檔案類型上傳測試方法 367

13.9 惡意檔案上傳測試（OTG-BUSLOGIC-009） 367

13.9.1 惡意檔案上傳測試概述 367

13.9.2 惡意檔案上傳測試示例 368

13.9.3 惡意檔案上傳測試方法 368

13.10 業務邏輯測試工具 369

13.11 業務邏輯測試參考文獻 371

13.12 業務邏輯測試加固措施 376

第14章 客戶端測試 378

14.1 基於DOM的跨站腳本測試（OTG-CLIENT-001） 378

14.1.1 基於DOM的跨站腳本測試概述 378

14.1.2 基於DOM的跨站腳本的測試方法 378

14.2 JavaScript執行測試（OTG-CLIENT-002） 381

14.2.1 JavaScript執行測試概述 381

14.2.2 JavaScript執行測試方法 381

14.3 HTML注入測試（OTG-CLIENT-003） 382

14.3.1 HTML注入測試概述 382

14.3.2 HTML注入測試方法 382

14.4 客戶端URL重定向測試（OTG-CLIENT-004） 384

14.4.1 客戶端URL重定向測試概述 384

14.4.2 客戶端URL重定向測試方法 384

14.5 CSS注入測試（OTG-CLIENT-005） 385

14.5.1 CSS注入測試概述 385

14.5.2 CSS注入測試方法 386

14.6 客戶端資源處理測試（OTG-CLIENT-006） 388

14.6.1 客戶端資源處理測試概述 388

14.6.2 客戶端資源處理測試方法 388

14.7 跨源資源共享測試（OTG-CLIENT-007） 390

14.7.1 跨源資源共享測試概述 390

14.7.2 跨源資源共享測試方法 391

14.8 跨站Flash測試（OTG-CLIENT-008） 395

14.8.1 跨站Flash測試概述 395

14.8.2 跨站Flash測試方法 395

14.9 點擊劫持測試（OTG-CLIENT-009） 401

14.9.1 點擊劫持測試概述 401

14.9.2 點擊劫持測試方法 402

14.10 WebSockets測試（OTG-CLIENT-010） 411

14.10.1 WebSockets測試概述 411

14.10.2 WebSockets測試方法 412

14.11 Web訊息測試（OTG-CLIENT-011） 414

14.11.1 Web訊息測試概述 414

14.11.2 Web訊息測試方法 415

14.12 本地存儲測試（OTG-CLIENT-012） 417

14.12.1 本地存儲測試概述 417

14.12.2 本地存儲測試方法 417

14.13 客戶端測試工具 419

14.14 客戶端測試參考文獻 421

14.15 客戶端測試加固措施 425

第三部分 測試報告

第15章 報告 428

附錄A 測試工具 430

附錄B 推薦讀物 439

附錄C 模糊測試向量 444

附錄D 編碼注入 452

附錄E 測試項列表 455