DL∕T 2031-2019 電力移動(dòng)應(yīng)用軟件測(cè)試規(guī)范

國(guó)家能源局發(fā)布I Ⅱ 1 1 14縮略語 3 36測(cè)試方法 37功能測(cè)試 37.1功能性測(cè)試 37.2交叉事件測(cè)試 48非功能測(cè)試 48.1性能(效率)測(cè)試 48.2兼容性測(cè)試 68.3易用性測(cè)試 78.4可靠性測(cè)試 78.5可維護(hù)性測(cè)試 8 9 9 附錄A(資料性附錄)黑盒測(cè)試方法 附錄B(資料性附錄)滲透測(cè)試方法示例 21附錄C(資料性附錄)綜合評(píng)價(jià)方法 24附錄D(資料性附錄)測(cè)試工具 26Ⅱ1GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T25069—2010信息安全技術(shù)術(shù)語GB/T34975信息安全技術(shù)移2DL/T2031—20193ANR:應(yīng)用程序無響應(yīng)(applicationnotresponding)API:應(yīng)用程序編程接口(applicationprogramminginterface)IPsec:Internet協(xié)議安全性(internetprotocolSSL:安全套接層(securesocketslayer)TLS:傳輸層安全(transportlayersecurity)48.1性能(效率)測(cè)試5DL/T2031—2019括查詢、添加、刪除等操作請(qǐng)求)時(shí)，平均響應(yīng)時(shí)間不應(yīng)超過6s;在執(zhí)行統(tǒng)計(jì)業(yè)務(wù)時(shí)，月統(tǒng)應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器的CPU平均利用率不應(yīng)超過60%,且CPU利用率不應(yīng)連續(xù)30s超過80%;應(yīng)用服務(wù)器的內(nèi)存平均使用率不應(yīng)超過75%,且內(nèi)存使用率不應(yīng)連續(xù)60s超過6a)生成兼容性測(cè)試報(bào)告，移動(dòng)應(yīng)用應(yīng)適配更多移動(dòng)終端，宜保證本年度市場(chǎng)占有率前三位的7DL/T2031—20191)服務(wù)端承受最大并發(fā)數(shù)量持續(xù)運(yùn)行4h;8大于1h;9a)應(yīng)具備身份鑒別機(jī)制(中風(fēng)險(xiǎn));d)應(yīng)具備多重鑒別機(jī)制(低風(fēng)險(xiǎn));b)移動(dòng)應(yīng)用應(yīng)對(duì)24h內(nèi)連續(xù)登錄失敗次數(shù)達(dá)到設(shè)定值(應(yīng)在1次～10次之內(nèi))的用戶賬號(hào)進(jìn)行f)移動(dòng)應(yīng)用對(duì)關(guān)鍵操作應(yīng)采用短信驗(yàn)證碼機(jī)制，驗(yàn)證碼口令長(zhǎng)度至少為6位，有效期最長(zhǎng)d)基于Android開發(fā)的移動(dòng)應(yīng)用關(guān)e)基于Android開發(fā)的移動(dòng)應(yīng)用so文件應(yīng)不可被破解(低風(fēng)險(xiǎn))。b)基于Android開發(fā)的移動(dòng)應(yīng)用應(yīng)不可輸出調(diào)試日志擊、跨站腳本攻擊、會(huì)話重放攻擊、明文傳輸、敏感信息泄露、文件上傳漏洞等已知安全漏洞(高a)分析程序規(guī)格說明，引出原因(輸入條件)和結(jié)果(輸出結(jié)果),并給每個(gè)原因和結(jié)果賦予一滲透測(cè)試方法示例測(cè)試方法示例1越權(quán)訪問漏洞首先使用工具抓取A用戶功能鏈接，然后登錄B用戶對(duì)此通過抓包工具抓取A用戶ID并將此ID改成B用戶的ID,查看是否可或查看B用戶的數(shù)據(jù)；2明文傳輸相關(guān)參數(shù)；系統(tǒng)內(nèi)所涉及的口令等隱私數(shù)據(jù)傳輸?shù)胤綉?yīng)做加密處理；不應(yīng)使用MD5等易被破解的加密方式和Base64編碼、URL編碼等方式解決此類問題3漏洞com/page.xxx?name=valueand1=1”,返回正確；在被測(cè)參數(shù)后加上測(cè)試語句“and1=2”,返回錯(cuò)誤，則說明存在SQL注入漏洞；若請(qǐng)求參數(shù)為字符型參數(shù)則使用“'and'I='l”,“'and'I'=2如確定存在SQL注入漏洞，則需要手工構(gòu)造SQL注入語句或者使4index.php?user=<script>alert(123)</script>,若彈出提示框，則說明存在跨站漏洞5上傳漏洞如果客戶端腳本限制了上傳文件的類型(例如允許GIF文件),則上馬文件如hacker.gif,然后配置httpproxy(BurpSuite)進(jìn)行http請(qǐng)求攔截：重新點(diǎn)擊“瀏覽”按鈕，并選擇hacker.gif,確認(rèn)上傳；hacker.jsp,訪問該后門程序，取得webshell,也可通過文件解析漏洞和截6漏洞根據(jù)抓取系統(tǒng)URL構(gòu)造出一些常見的Web服務(wù)器后臺(tái)泄露URL地址Tomcat控制臺(tái)URL::8080/manager/htmlWeblogic控制臺(tái)URL::7001/cons7敏感信息1)網(wǎng)站絕對(duì)路徑；2)SQL語句；3)中間件版本；8統(tǒng)命令的字符(假設(shè)為cmd=ls);可以被執(zhí)行；S2-019、S2-037、S2-045、Weblogic、JBoss漏洞等)表B.1(續(xù))測(cè)試方法示例9目錄遍歷漏洞否被列出來使用工具抓取網(wǎng)站登錄會(huì)話請(qǐng)求包；現(xiàn)響應(yīng)碼和響應(yīng)長(zhǎng)度不同，則此條會(huì)話中猜解的用戶名和密碼正確或用戶名正確請(qǐng)求偽造)登錄網(wǎng)站，使用工具構(gòu)造CSRFPOC,并保存在HTML文件中；如訪問HTML文件成功，則構(gòu)造HTML的預(yù)期功能實(shí)現(xiàn)，并確認(rèn)存在CSRF漏洞文件下載值為其他文件路徑；并在瀏覽器地址欄中嘗試以下更改參數(shù)后的URL:/viewfile.do?flename=../etc/viewfile.do?filename=.././etc/viewfile.do?filename=./.1./etc1)修改數(shù)值(如構(gòu)造SQL語句可被執(zhí)行);2)驗(yàn)證碼爆破(如4位數(shù)字驗(yàn)證碼可暴力破解);3)修改響應(yīng)包(如通過修改登錄響應(yīng)包，密碼錯(cuò)誤時(shí)可登錄系統(tǒng));4)修改密碼(如修改密碼邏輯問題);5)服務(wù)端無有效驗(yàn)證；6)未授權(quán)訪問(如URL連接未授權(quán)訪問，Redis未授權(quán)訪問漏洞，Memcache未授權(quán)訪問漏洞);7)返回密碼信息(如響應(yīng)包中返回密碼信息);8)密碼明文存儲(chǔ)(如前臺(tái)存儲(chǔ)明文密碼信息);9)登錄用戶提示(如提示用戶是否存在，可猜使用BurpSuite抓包，查找請(qǐng)求會(huì)話中帶有XML格式的請(qǐng)求，然后對(duì)XML文如在<?xmlversion="1.0"encoding="ISO-8859-1"?>后插入如下Linux系統(tǒng)：<?xmlversion="1.0"encod<!ENTITYnameSYSTEM"file://<?xmlversion="1.0"encod<!ENTITYnameSYSTEM"file:///c:/如果可讀取服務(wù)器上的文件內(nèi)容，則存在該漏洞服務(wù)和端口測(cè)試方法示例服務(wù)和端口445端口CVE-2008-4250MicrosoftWindowsServer服務(wù)RPC請(qǐng)求緩沖區(qū)溢出證碼漏洞使用工具抓取網(wǎng)站登錄請(qǐng)求數(shù)據(jù)包；使驗(yàn)證碼功能不生效或關(guān)閉同樣可以達(dá)到會(huì)話重放攻擊的目的不安全的息，則為不安全的CookiesSSRF漏洞人工查看默認(rèn)口令/弱口令包括：1)應(yīng)用程序弱口令；其他漏洞a)測(cè)試用例覆蓋需求率達(dá)到100%;b)測(cè)試用例回歸執(zhí)行