安全性測試涉及的內容

web安全性測試

乙個完整的web安全性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感資料、會話管理、加密。引數操作、異常管理、審核和日誌記錄等幾個方面入手。

1.安全體系測試

1)部署與基礎結構

網路是否提供了安全的通訊

部署拓撲結構是否包括內部的防火牆

部署拓撲結構中是否包括遠端應用程式伺服器

基礎結構安全性需求的限制是什麼

目標環境支援怎樣的信任級別

2)輸入驗證

如何驗證輸入

a.是否清楚入口點

b.是否清楚信任邊界

c.是否驗證web頁輸入

d.是否對傳遞到元件或web服務的引數進行驗證

e.是否驗證從資料庫中檢索的資料

f.是否將方法集中起來

g.是否依賴客戶端的驗證

h.應用程式是否易受sql注入攻擊

i.應用程式是否易受xss攻擊

如何處理輸入

3)身份驗證

是否區分公共訪問和受限訪問

是否明確服務帳戶要求

如何驗證呼叫者身份

如何驗證資料庫的身份

是否強制試用帳戶管理措施

4)授權

如何向終端使用者授權

如何在資料庫中授權應用程式

如何將訪問限定於系統級資源

5)配置管理

是否支援遠端管理

是否保證配置儲存的安全

是否隔離管理員特權

6)敏感資料

是否儲存機密資訊

如何儲存敏感資料

是否在網路中傳遞敏感資料

是否記錄敏感資料

7)會話管理

如何交換會話識別符號

是否限制會話生存期

如何確保會話儲存狀態的安全

8)加密

為何使用特定的演算法

如何確保加密金鑰的安全性

9)引數操作

是否驗證所有的輸入引數

是否在引數過程中傳遞敏感資料

是否為了安全問題而使用http頭資料

10)異常管理

是否使用結構化的異常處理

是否向客戶端公開了太多的資訊

11)審核和日誌記錄

是否明確了要審核的活動

是否考慮如何流動原始呼叫這身份

2.應用及傳輸安全

web應用系統的安全性從使用角度可以分為應用級的安全與傳輸級的安全，安全性測試也可以從這兩方面入手。

應用級的安全測試的主要目的是查詢web系統自身程式設計中存在的安全隱患，主要測試區域如下。

註冊與登陸：現在的web應用系統基本採用先註冊，後登入的方式。

a.必須測試有效和無效的使用者名稱和密碼

b.要注意是否存在大小寫敏感，

c.可以嘗試多少次的限制

d.是否可以不登入而直接瀏覽某個頁面等。

操作留痕：為了保證web應用系統的安全性，日誌檔案是至關重要的。需要測試相關資訊是否寫進入了日誌檔案，是否可追蹤。

備份與恢復：為了防範系統的意外崩潰造成的資料丟失，備份與恢復手段是乙個web系統的必備功能。備份與恢復根據web系統對安全性的要求可以採用多種手段，如資料庫增量備份、資料庫完全備份、系統完全備份等。出於更高的安全性要求，某些實時系統經常會採用雙機熱備或多級熱備。除了對於這些備份與恢復方式進行驗證測試以外，還要評估這種備份與恢復方式是否滿足web系統的安全性需求。

傳輸級的安全測試是考慮到web系統的傳輸的特殊性，重點測試資料經客戶端傳送到伺服器端可能存在的安全漏洞，以及伺服器防範非法訪問的能力。一般測試專案包括以下幾個方面。

https和ssl測試：預設的情況下，安全http（soure http）通過安全套接字ssl（source socket layer）協議在埠443上使用普通的http。https使用的公共金鑰的加密長度決定的https的安全級別，但從某種意義上來說，安全性的保證是以損失效能為代價的。除了還要測試加密是否正確，檢查資訊的完整性和確認https的安全級別外，還要注意在此安全級別下，其效能是否達到要求。

伺服器端的指令碼漏洞檢查：存在於伺服器端的指令碼常常構成安全漏洞，這些漏洞又往往被黑客利用。所以，還要測試沒有經過授權，就不能在伺服器端放置和編輯指令碼的問題。

防火牆測試：防火牆是一種主要用於防護非法訪問的路由器，在web系統中是很常用的一種安全系統。防火牆測試是乙個很大很專業的課題。這裡所涉及的只是對防火牆功能、設定進行測試，以判斷本web系統的安全需求。

另推薦安全性測試工具：

安全性測試涉及的內容

安全性測試

mysql安全性試驗 Mysql安全性測試

安全性測試方法

安全性測試涉及的內容

安全性測試

mysql安全性試驗 Mysql安全性測試

安全性測試方法

相關推薦