CitrixNetScalerWAF测试计划Word格式文档下载.docx

CitrixNetScalerWAF测试计划Word格式文档下载.docx

《CitrixNetScalerWAF测试计划Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《CitrixNetScalerWAF测试计划Word格式文档下载.docx（28页珍藏版）》请在冰点文库上搜索。

3.SynFlood攻击防护性能

1.3测试计划

1.3.1测试人员

本次测试，由XXXX厂商和XXXX双方工程师参与，主要人员包括：

∙XXXX：

1.3.2测试时间

测试将分为两个阶段进行，第一阶段进行功能测试，第二阶段进行性能测试。

在正式测试工作启动之前还需要前期准备，具体落实测试方案，测试计划和测试环境准备工作。

1.3.3测试地点与联系人

∙测试地点：

∙测试环境联系人：

2测试环境

2.1测试设备

用途

设备

数量

型号

安装软件

WEB应用防火墙

测试厂商自行准备

1

压力测试工具

三层交换机

L3Switch

PC服务器

通用Web服务器

Badstore包含大量漏洞的服务器

PC客户端

通用PC

包含多种Web攻击工具

2.2IP地址分配

IP地址段

测试设备

服务器

客户端

3功能测试

3.1设备部署能力测试

3.1.1ReverseProxy架构部署测试

测试编号

测试日期

被测设备

测试目的

检查在此架构下，WAF功能是否正确运作

测试项目

SQLInjection和服务器版本资料删除

测试地点

测试工具

有弱点的网站，如Badstore

测试连接图

测试步骤

1.按照测试连接图连接测试设备和测试服务器；

2.测试服务器为HTTP网页服务器；

3.配置设备IP地址；

4.配置客户端使用WAF上配置的VIP

5.WAF设备分别启用防护功能，包括

∙SQLInjection

∙服务器版本资料删除（如在服务器回应的HTTPHeader中Server:

IIS6.0的资料移除）

预期结果

SQLInjection攻击被阻挡，服务器版本资料被移除

测试结果

SQLInjection防护是否符合

服务器版本资料刪除是否符合

☐是/☐否

备注

后端服务器仅启用HTTP服务，相关凭证请服务器厂商依需求配置

测试员签名

用户____________________厂商______________________

3.1.2L2In-line架构能力测试

4.配置客户端使用WAF上配置的VIP；

3.1.3L3In-line架构测试

3.1.4L2和L3In-line混合模式架构测试

4.配置客户端使用WAF上配置的VIP和SubnetA之后端服务器通讯；

服务器版本资料删除是否符合

3.2WAF防护功能测试

3.2.1设备自学习功能测试

网页应用中包含了大量的URL、参数、方法、Cookie等元素，如果通过手工根据各个元素来设定安全规则将有非常大的工作量，而且容易出现错误。

因此，需要进行自动网站模型学习。

测试WAF是否能正确的自动的学习到网站建构模型

设备自学习功能

2.测试服务器为HTTP服务；

4.配置客户端访问WAF上配置的VIP；

5.在WAF上针对每个防护类别对象开启Learning功能

6.发起到后台服务器的应用访问

在启用学习功能后，设备会自动列出学习到的URL，表单，Cookie等信息

自动学习功能是否符合

☐是/☐否

3.2.2协议合规性检查测试

系统可对HTTP协议进行检查，发现不规范的HTTP协议数据。

HTTP协议检查应该至少包括，非法的Http版本、非法主机名、过长的Http请求、过长的Http参数、未知的Http方法等等

HTTP协议检查

5.使用浏览器发起到后台服务器的应用访问

6.通过HTTPProfie及其Rewrite功能设置协议合规性检查

对于HTTP协议进行合规性检查

合规性检查功能是否符合

3.2.3统一入口访问限制

应用中包含了不同的URL，提供不同的内容给客户端，只允许用户从首页进行登陆后在访问其他页面，不允许直接访问其它页面。

避免敏感信息泄露和暴力攻击

统一访问入口限制

5.在WAF上开启StartURL（Enforce）功能

6.客户端访问首页后观察是否可以访问其他页面

7.结束访问，退出浏览器

8.重新打开浏览器，访问非首页的任何一个页面

在启用该能后，设备仅允许用户从首页登陆后访问其它页面

功能是否符合

3.2.4OWASPTOP10弱点防护

测试WAF是否能正确阻挡攻击

OWASPTOP10弱点防护

有弱点的网站，如Badstore，和弱点扫面工具W3AF或者IBMAppScan

7.按照测试连接图连接测试设备和测试服务器；

8.测试服务器为HTTP服务；

9.配置设备IP地址；

10.配置客户端访问WAF上配置的VIP；

11.WAF在不启用防护功能时，用扫描工具进行扫描，并记录弱点数量，并标记为VA

12.WAF在启用防护功能时，用扫描工具进行扫描，并记录弱点数量，并标记为VP

在启用防护功能后，查找到的弱点数量应该比启用之前少

OWASPTOP10防护是否符合

防护能力比分（（VA-VP）/VAx100%）

得分：

__%

防护能力比分较高者，防护能力较佳

3.2.4.1SQLInjection防护

SQLInjection

有弱点的网站，如Badstore，SQLInjection语句

5.开启SQLInjection防护功能，在网页表单或者URL参数中提交SQL注入语句

WAF能够识别并进行拦截

3.2.4.2跨站脚本防护

跨站脚本攻击

有弱点的网站，如Badstore，和跨站脚本

5.在网页的表单中将跨站脚本录入进去

6.开启XSS保护功能

WAF可以对包含恶意脚本的请求进行拦截

XSS防护是否符合

3.2.4.3Cooike篡改防护

Cookie防篡改

有弱点的网站，如Badstore，和MantraPortable浏览器（集成多种攻击攻击，在OWASP.org网站中下载）

4.配置客户端使用下载的浏览器访问WAF上配置的VIP；

5.通过浏览器附带的CookiesManager插件工具进行原始Cookie修改（Tools-ApplicationAuditing-CookiesManager+）

6.开启Cookie防篡改保护功能

WAF可以保护Cookie避免被篡改

Cookie篡改防护是否符合

3.2.4.4Cooike代理/加密防护

测试WAF是否能将服务器返回给客户端的Cookie进行二次处理，以保护原始Cookie避免遭受窃取

Cookie代理/加密

有弱点的网站，如Badstore

5.开启Cookie代理功能（可对原始服务器返回的Cookie进行加密，替换等）

WAF可以对原始Cookie进行加密或者安全替换

Cookie代理是否符合

3.2.4.5表单一致性防护

测试WAF是否能正确阻挡隐藏表单恶意篡改

表单防篡改

有弱点的网站，如Badstore，和MantraPortable浏览器（集成多种攻击攻击，在OWASP.org网站中下载）

5.通过浏览器附带的TamperData插件工具进行隐藏表单参数值修改（Tools-ApplicationAuditing-TamperData）

6.开启表单一致性保护功能

WAF可以对隐藏表单参数进行保护

表单参数篡改防护是否符合

3.2.4.6BufferOverflow防护

测试WAF是否能正确阻挡BufferOverflow

BufferOverflow

5.在浏览器地址栏中，输入一个较长的URL参数值,或者在表单中提交一个

较长的查询请求

6.开启BufferOverflow保护功能

WAF可以防止BufferOverflow

BufferOverflow防护是否符合

3.2.5敏感性资料防护

测试WAF是否能防范敏感性资料外泄

信用卡资料隐藏

4.配置客户端访问WAF上配置的VIP，访问包含信用卡信息的页面；

5.WAF开启信用卡资料防护功能

网页所显示的信用卡号码有部分被屏蔽掉

信用卡资料外泄防护是否符合

3.2.6阻拦和模拟阻拦（只告警）

在系统初始或者异常情况下，可以进行模拟运行，只提供真实告警，但是不进行阻拦，保证业务的持续性

阻拦和模拟阻拦

1.测试各种部署模式下的阻断效果

2.设置系统为模拟阻断，测试是否可以同样生成告警，但是不对业务造成任何影响

可有效阻止和模拟阻断

是否实现可有效阻止和模拟阻断

3.2.7告警中敏感信息的掩码

对于告警事件中出现的敏感信息进行掩码，例如信用卡信息等，用户名及其密码等，掩去的信息使用星号代替

敏感信息掩码

1.设备开启ConfidentailForm功能

2.访问信用卡信息相关页面

对敏感信息成功掩码

是否实现对敏感信息成功掩码

3.2.8阻拦页面自定义

可自定义阻断页面

阻断页面的自定义

1.自定义阻断页面

2.触发阻断，观察阻断页面的效果

有效自定义阻断页面，阻断页面还可以提供违规相关的信息，例如，事件ID、会话ID、相关违规提示等等

是否实现如上需求

3.2.9导入扫描工具结果

检查WAF设备对应用内容的重写

WAF应该可以集成主流的第三方网页应用扫描工具，并可将其扫描结果导入WAF，进行虚拟补丁。

主流扫描工具包括：

WhiteHat,IBMAppscan,TrendMicro,Qualys和Cenzic等

测试仪表

1.使用漏洞扫描工具，扫描目标站点，并得到扫描结果，导出为XML文件。

2.将XML文件导入到WAF产品中，可在WAF中查看到对应网站的各种漏洞

系统可以成功导入扫描结果

是否实现系统成功导入扫描结果

3.2.10特征库自动和手动更新

检查WAF新特征库更新情况

定期更新特征库可确保WAF有效防御最新的网页应用攻击

无

进行自动更新特征库验证

进行手动上传特征库文件验证

系统可以成功更新特征库

是否实现系统成功更新特征库

3.2.11应用内容重写

应用内容重写功能测试

2.配置设备IP地址；

3.要求在L4-L7层设备上配置请求重写策略，要求重写如下内容，在Web服务器1上检查是