今天主要与大家分享关于Web安全性测试相关内容,讲到安全性测试相信大家对这个肯定词语并不陌生,无论如何你一定听说过在媒体报道中听说还是在电视中看到也好,如果一个黑客攻击了一个系统,或者一个系统出现了一个什么样的漏洞,或者某一个电子商务网站因为存在不安全性漏洞导致用户数据的流失,或者用户数据的修改等或者黑客因为对某些公司不满,将官网的首页进行变更,我们都听说过很多这样的一些故事。
这些内容当然是真实存在的,而且在技术层面也是可以做到的,但是大家要注意,我们在电视中看到的惊险刺激的黑客攻击的场景这种场景,在现实生活当中几乎是不存在的,但是我们媒体上报道的新闻几乎都是真实的,的确会有这样一些问题。
例如:页面被篡改、数据丢失、服务器被攻击、服务崩溃一般都是属于安全性的漏洞,我们安全性测试的作用就是利用安全性测试技术,在产品没有正式上线发布之前,找到系统潜在的漏洞,待找到漏洞后需要将这些漏洞修复,避免潜在的漏洞被用户或者其它的非法用户发现从而攻击系统。
这样对我们的服务器甚至数据包括一些相关的金融软件与钱有关的的数据,导致不安全性问题,一旦出现这种问题都是非常严重的安全性bug,所以安全性测试的目的就是尽可能的把这些问题扼杀在摇篮当中,并且修复好,争取交付给用户的是一个完整的系统,并且不会存在安全性方面的漏洞。
但是呢,跟我们去找一个软件产品的bug一样,这种安全性的漏洞也是很难完全可以避免全部找到的,因为我们的黑客攻击技术或者说嗅探的技术会层出不穷,而我们无论怎么样努力,因为我们作为一个web网站,一定是要对用户提供一些服务的,一定会开放一些端口的,甚至要给用户提供一些输入的界面,而这些方面其实都有可能会成为漏洞的载体。
一些非法用户可以通过这样的一种输入的方式,或者打开80端口扫描的方式,或者通过URL地址的参数进入SQL注入都有可能给系统移入一些非法的代码,还是会存在一些漏洞,作为一名安全性测试人员,我们要做的工作就是尽自己最大努力找到这些潜在的安全性漏洞。
另一方面,除了刚与大家分析的系统开放一些漏洞和界面给用户输入信息有可能会存在问题以外,还有一个最主要的原因是,我们的程序员在开发一个系统时,或者说写一段代码功能的时候,很有可能不知不觉就埋下了一个后台漏洞,但是很多时候程序员甚至自己也不知道它是一个漏洞,作为一名安全测试人员,我们要做的就是猜测服务器存在一些什么漏洞从而去重现它。
出现这些问题,一般是因为网络、服务器等相关环境决定了系统存在安全性漏洞。还有一种就是人为的安全性漏洞我们也需要去测试它,也就是程序员故意设计的,当然这种情况基本很少,除非程序员对公司或者某些测试人员存在不满才会有意为之,这都是安全性测试人员需要去做的一些事情,尽可能的把网络架构层面的或者人为的有意无意制造的这些问题找出来。
对于web系统来说都是与网络协议有关的漏洞我们需要去避免,web系统是以浏览器为载体的,浏览器层面有关的漏洞我们需要注意,我们通常来说一个网页是与最终用户进行交互,很多时候网页这边有些操作是可以通过JS进行操作,我们可能会绕过这个界面直接与服务器进行交互。
关于网络协议交互这部分内容都是与网络协议相关,因为安全性测试、性能测试、可靠性测试这些问题都与网络协议息息相关。
例如:我们前端的页面内容如果只是通过JS进行过滤,而没有在后台服务器进行过滤,一旦我绕开前端直接向服务器发送数据包,这样的过虑就不会生效,JS就无法过虑这些数据包。
例如:有一个文本框只能输入数字,JS在前端也进行了限制只允许输入数字,但是在服务器端没有限制,我直接发送一个数据为字母,服务器也能正常接收,这就是安全性的bug。
综上所述,今天主要与大家分享了Web安全性测试概述相关的内容,也告诉大家平时在测试的过程中如何进行安全性漏洞的测试,一般在哪些功能领域或者环境容易出现安全性的漏洞,希望大家通过今天内容的学习,对安全性测试有一个深入的理解,接着后续会更新更多安全性测试相关的文章供大家学习,感谢您的阅读。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
