一個(gè)完整的web安全測(cè)試可以從部署和基礎(chǔ)設(shè)施、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密等方面進(jìn)行。參數(shù)操作、異常管理、審計(jì)和日志記錄。

部署拓?fù)涫欠癜ㄟh(yuǎn)程應(yīng)用程序服務(wù)器

D、 傳遞給組件或web服務(wù)的參數(shù)是否經(jīng)過(guò)驗(yàn)證

web應(yīng)用系統(tǒng)的安全性從使用的角度可以分為應(yīng)用級(jí)安全和傳輸級(jí)安全，安全性測(cè)試也可以從這兩個(gè)方面著手。

應(yīng)用級(jí)安全測(cè)試的主要目的是找出web系統(tǒng)自身程序設(shè)計(jì)中存在的安全隱患。主要測(cè)試區(qū)域如下。

注冊(cè)與登錄：目前的web應(yīng)用系統(tǒng)基本上采取先注冊(cè)后登錄的方式。

D、 是否可以在不登錄的情況下直接瀏覽頁(yè)面。

在線超時(shí)：web應(yīng)用系統(tǒng)是否有超時(shí)限制，即用戶在登錄后一定時(shí)間內(nèi)（如15分鐘）沒(méi)有點(diǎn)擊任何頁(yè)面，是否需要重新登錄才能正常使用。

操作跟蹤：為了保證web應(yīng)用系統(tǒng)的安全，日志文件非常重要。需要測(cè)試相關(guān)信息是否寫入日志文件，是否可以跟蹤。

備份和恢復(fù)：為了防止由于系統(tǒng)意外崩潰而造成的數(shù)據(jù)丟失，備份和恢復(fù)方法是web系統(tǒng)的一項(xiàng)必要功能。根據(jù)數(shù)據(jù)庫(kù)備份和完全備份的要求，系統(tǒng)可以采用數(shù)據(jù)庫(kù)備份和完全備份等多種方式。為了滿足更高的安全要求，一些實(shí)時(shí)系統(tǒng)通常采用雙熱備或多級(jí)熱備。除了對(duì)這些備份和恢復(fù)方法進(jìn)行驗(yàn)證測(cè)試外，還應(yīng)評(píng)估這些備份和恢復(fù)方法是否滿足web系統(tǒng)的安全要求。

傳輸級(jí)安全測(cè)試是考慮web系統(tǒng)傳輸?shù)奶厥庑裕攸c(diǎn)測(cè)試數(shù)據(jù)從客戶端傳輸?shù)椒?wù)器時(shí)可能存在的安全漏洞，以及服務(wù)器防止非法訪問(wèn)的能力。一般測(cè)試項(xiàng)目包括以下幾個(gè)方面。

HTTPS和SSL測(cè)試：默認(rèn)情況下，securehttp（sourehttp）通過(guò)securesocketssl（源套接字層）協(xié)議在端口443上使用普通http。公鑰的加密長(zhǎng)度決定了HTTPS的安全級(jí)別，但從某種意義上講，安全是以性能損失為代價(jià)的。除了測(cè)試加密是否正確，檢查信息的完整性，確認(rèn)HTTPS的安全級(jí)別外，還要注意其性能是否滿足該安全級(jí)別下的要求。

服務(wù)器端腳本漏洞檢查：存在于服務(wù)器端的腳本往往構(gòu)成安全漏洞，經(jīng)常被黑客利用。因此，我們還應(yīng)該測(cè)試腳本不能在未經(jīng)授權(quán)的情況下放置和編輯服務(wù)器端的問(wèn)題。

防火墻測(cè)試：防火墻是一種主要用于防止非法訪問(wèn)的路由器。它是web系統(tǒng)中常用的安全系統(tǒng)。防火墻測(cè)試是一個(gè)專業(yè)的大課題。這里所涉及的只是對(duì)防火墻的功能和設(shè)置進(jìn)行測(cè)試，以判斷該web系統(tǒng)的安全需求。

（學(xué)習(xí)黑帽SEO技術(shù),網(wǎng)站快速排名,蜘蛛池加速收錄）掃一下添加微信：