检测项目

1.路径过滤规则验证：测试../、%2e%2e/等编码变体拦截率≥99.5%

2.文件权限校验：验证非授权目录访问响应码403触发率100%

3.日志记录完整性：检查非法路径访问日志留存率≥99.9%

4.编码转换测试：包含UTF-8/URL编码等10种字符集兼容性验证

5.边界值测试：路径长度超过1024字符时系统异常率≤0.1%

检测范围

1.Web应用程序：包括Java/PHP/Python等语言开发的B/S架构系统

2.云存储服务：对象存储API接口及文件管理模块

3.工业控制系统：SCADA系统文件传输组件

4.移动应用程序：Android/iOS本地文件访问模块

5.嵌入式设备：路由器/NVR等设备的固件升级模块

检测方法

1.ASTMF2853-17：Web应用路径遍历漏洞自动化测试规范

2.ISO/IEC27034-6：应用安全控制测试的国际通用框架

3.GB/T22239-2019：网络安全等级保护基本要求（三级系统）

4.OWASPTestingGuidev4.2：手工渗透测试实施指南

5.GB/T30276-2020：信息安全技术网络脆弱性扫描产品技术要求

检测设备

1.BurpSuiteProfessionalv2023.6：支持自定义payload的渗透测试平台

2.Acunetix360v15：自动化扫描器（最大支持5000+种路径组合）

3.FortifyWebInspect23.1：企业级动态应用安全测试(DAST)系统

4.AppScanStandardv10.2.0：支持国家标准的合规性验证工具

5.KaliLinux2023.4：集成DirBuster/Dirsearch等开源工具套件

6.Postmanv10.14：API接口路径遍历测试专用平台

7.MetasploitFrameworkv6.3：渗透测试模块库（含CVE-2023-1234等EXP）

8.Wiresharkv4.0.8：网络协议分析仪（捕获异常文件请求）

9.CheckmarxCxSASTv9.6：静态代码分析工具（支持15种编程语言）

10.FiddlerEverywherev5.0：HTTP流量调试代理工具（支持断点修改）

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

　　以上是与目录遍历检测相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。