- l Web安全测试的执行,对于被测系统,或多或少都会存在一些影响(比如性能、垃圾数据),建议只在测试环境中进行;如果一定要在现网运行环境中执行,那么务必配置专门的测试数据,测试执行是应该非常慎重,只能修改或删除这些测试数据,禁止修改、删除现网其他数据。
- 本规范最主要目的是为了发现安全弱点,至于发现一个弱点以后更深一步的渗透测试在这里不会涉及。例如针对暴力破解测试,我们只给出验证存在暴力破解漏洞的可能,但不会提供暴力破解的方法。
- 测试工具的申请和使用,请遵循公司信息安全相关规定。
- 如果是内部试验环境进行测试,可以考虑去除一些防护措施或设备(如防火墙),
- 本文档根据最严格的方式对目标进行测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试。例如密码策略测试项中,测试人员可以根据测试目标的密码位数要求进行测试,而不需要完全依照测试项里面规定的位数进行测试。
1.1 测试用例级别说明
一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:
| 危害程度 发生概率 | 高 | 中 | 低 |
|---|---|---|---|
| 高 | 高 | 高 | 中 |
| 中 | 高 | 中 | 低 |
| 低 | 中 | 低 | 低 |
表1 风险等级界定表<br />本测试规范用例根据上面的定义分为四个测试级别:
| 基本:该类用例涉及可能导致风险程度为高的安全漏洞,在任何情况下都必须进行测试。 | |
| 重要:该类用例涉及可能导致风险程度为中的安全漏洞,在条件允许(时间、人力充沛)情况下必须进行测试。 | |
| 一般:该类用例涉及可能导致风险程度为低的安全漏洞,测试结果可能对其他测试有帮助。测试与否根据业务系统的重要性来判断。 | |
| 生僻:该类用例涉及可能导致风险程度为极低的安全漏洞,攻击者只能收集到很少且无关紧要的信息。一般情况下不建议进行测试。 |
若有收获,就点个赞吧
0 人点赞
