什么是web安全性测试?
来源:互联网 发布:前端防止sql注入 编辑:程序博客网 时间:2024/06/04 23:27
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手
Web安全性测试
数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!
登录:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件 需要登录后才能访问/下载等。
超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候,需要重新登录才能使用其功能。
SSL:越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。
服务器脚本语言:脚本语言是最常见的安全隐患,如有些脚本语言允许访问根目录,经验丰富的黑客可以通过这些缺陷来攻击和使用服务器系统,因此,脚本语言安全性在测试过程中也必须被考虑到。
日志文件:在服务器上,要验证服务器的日志是否正常工作,例如CPU的占用率是否很高,是否有例外的进程占用,所以的事务处理是否被记录等。
目录:WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,将这种隐患降低到最小程度。
- 什么是web安全性测试?
- 什么是安全性测试
- web安全性测试
- WEB系统安全性测试列表
- web安全性测试用例
- WEB的安全性测试要素
- WEB的安全性测试要素(转)
- Web安全性测试—SQL注入
- WEB安全性测试考虑的几个方面
- WEB安全性测试测试用例(基础).doc
- 安全性测试
- 安全性测试
- 安全性测试
- 安全性测试
- 安全性测试
- WEB安全性
- WEB的安全性测试主要从以下方面考虑:
- 关于web系统安全性测试中问题的解决方案1
- OC门
- 新的开始
- eclipse快捷键大全 (有重复,自己整理下)
- Dundas Chart 雷达图,RadarChart简单示例
- 3G时代手机电池呈现三大特征
- 什么是web安全性测试?
- linux api笔记(5):线程(三)
- js获取下拉列表选中项的值和文本(select)以及获取单选按钮(radio)组的值和修改选中项
- 人生得一知己已足矣
- 敏捷开发(agile development)介绍
- 如何对sqlite3数据库进行加密
- CVS的一些备忘
- TextView如何高亮显示文本
- 使用Java调用Oracle数据库的存储过程实例