1 测试过程

　　测试主要包括主动模式和被动模式两种。在被动模式中，测试人员尽可能的了解应用逻辑：比如用工具分析所有的HTTP请求及响应，以便测试人员掌握应用程序所有的接入点（包括HTTP头，参数，cookies等）；在主动模式中，测试人员对应用系统、后台等进行渗透测试，其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统，即被动模式下的测试，然后再开展进一步的分析，即主动模式下的测试。

　　2 Web安全测试

　　2.1 Web漏洞扫描工具测试

　　自动化扫描工具只能检测到部分常见的漏洞（如跨站脚本、SQL注入等），不是针对用户代码的，也就是说不能理解业务逻辑，无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞，而是通过这些漏洞针对业务逻辑和应用的攻击。

　　Web目前分为application和Web service两部分。Application指通常意义上的Web应用，而Web service是一种面向服务的架构的技术，通过标准的Web协议（如HTTP、XML、SOAP、WSDL）提供服务。

　　2.1.1 AppScan application扫描测试

　　测试用例名称

　　AppScan application 扫描测试

　　测试目的

　　利用自动化的Web安全扫描工具AppScan进行扫描，以发现Web应用中存在的常见漏洞

　　测试条件

　　1、 已知Web服务器域名或IP地址

　　2、 Web业务运行正常

　　3、 测试用机上安装了AppScan

　　执行步骤

　　1、 双击运行AppScan，选择file—new新建扫描，选择扫描模板default

　　2、 弹出扫描配置对话框，选择扫描类型，默认为Web Application Scan，点击next

　　3、 在Starting URL中填入需扫描的目标服务器域名或IP地址，其他配置不需修改，点击next

　　4、 选择No Login，点击next

　　5、 不需修改任何参数，点击next

　　6、 不需修改参数，选择Start a full automatic scan，点击finish完成配置，开始扫描

　　7、 扫描完成，保存扫描结果，并对结果进行分析

　　预期结果

　　经过对扫描结果分析，确认不存在“中等等级”及以上级别的漏洞。

　　备注

　　注意：该用例的执行对被测系统的性能影响比较大，而且可能导致一些垃圾数据，建议只在测试环境执行。

　　由于自动化工具在很多情况下只是提示一种漏洞存在的可能，因此需要对所有的结果进行人工的分析判断。分析过程参考以下章节的测试项，使用辅助工具或者是手动验证。

　　业界常用的自动化扫描工具还有WebInspcet，NStalker，Acunetix Web Vulnerability Scanner。在有条件的情况下，可以综合使用。

　　测试结果

　　2.1.2 AppScan Web Service 扫描测试

　　测试用例名称

　　AppScan Web Service 扫描测试

　　测试目的

　　利用自动化的Web安全扫描工具AppScan进行扫描，以发现Web Service中存在的漏洞

　　测试条件

　　1、 已知Web服务器域名或IP地址

　　2、 Web业务运行正常

　　3、 目标系统使用了Web Service服务

　　4、 测试用机上安装了AppScan

　　执行步骤

　　1、 双击运行AppScan，选择file—new新建扫描，选择扫描模板default

　　2、 弹出扫描配置对话框，选择扫描类型，默认为Web Service Scan，点击next

　　3、 在Starting URL中填入需扫描的目标服务器域名或IP地址，其他配置不需修改，点击next

　　4、 不需修改任何参数，点击next

　　5、 不需修改任何参数，点击Finish完成配置，开始扫描

　　6、 扫描完成，保存扫描结果，并对结果进行分析

　　预期结果

　　经过分析确认以后的扫描结果中不存在信息提示以上等级的漏洞。

　　备注

　　注意：该用例的执行对被测系统的性能影响比较大，而且可能导致一些垃圾数据，建议只在测试环境执行。

　　由于自动化工具在很多情况下只是提示一种漏洞存在的可能，因此需要对所有的结果进行人工的分析判断。

　　测试结果