一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。51Testing软件测试网�e4]#u�k7B�@+l
A
�@�`�b(x2w$|6[8N4l$T�|01.安全体系测试51Testing软件测试网�q�I�G7j�R1[
�i(}-q.[1A7c$w:O�D�Z/W01) 部署与基础结构51Testing软件测试网*m�p%p1a�g$b�B
51Testing软件测试网�G�V P�j%W�|u 网络是否提供了安全的通信
6v�s�^�m�M�g�^01Y3i.G�Y�N9Z0u 部署拓扑结构是否包括内部的防火墙51Testing软件测试网;l�j(A4n;o�M
51Testing软件测试网+]�Q�V5e�@'Y�t4Uu 部署拓扑结构中是否包括远程应用程序服务器
�t&M2T+d8V0
^0g(} m!k8_-w0u 基础结构安全性需求的限制是什么51Testing软件测试网�`�r�L;}�?,i�v5K
�m�M�~�Z�m'_8j*|;U0u 目标环境支持怎样的信任级别51Testing软件测试网�l�O(^�e;W$A*c%]'a
�]�X
R.f
c)Y�G02) 输入验证
$u*V)J�]1b051Testing软件测试网.C�Q�i-r)^�_�c+yu 如何验证输入51Testing软件测试网3e)F�~!N�O$x�o�y�t�y
�b�Q)|�E�F#i�E�f)J�x&W0u 是否清楚入口点
�D�u�j�}�A-h9M�k051Testing软件测试网
u%|�{�W�b-J
j4J7y�Hu 是否清楚信任边界51Testing软件测试网*T:\8q�~;w�@9Q/X�T
�N�]�G�t9{�\�E�c�P7R0u 是否验证Web页输入
�F�u�Y�u%h�T3{9]�S�d051Testing软件测试网3e�B9l�X ]&K�ru 是否对传递到组件或Web服务的参数进行验证
:m�j k4V4k.v*r�o%o051Testing软件测试网�b%o�u�c5R:Gu 是否验证从数据库中检索的数据
3S
M�v�|;p�Y�y�y051Testing软件测试网8b I�r2A8X6Q:|�b�~�J�ku 是否将方法集中起来
�C c�\!M�w�G�A�C051Testing软件测试网�I�A�f'E�x l-w�m�X�Uu 是否依赖客户端的验证
4a�m$D�A�M/V.m,E�L051Testing软件测试网%k5z&I�e�^u 应用程序是否易受SQL注入攻击51Testing软件测试网%x�X/`�X�i�_2E�a�r
1d!k9e�p8G�?0u 应用程序是否易受XSS攻击51Testing软件测试网�s2i�{+X([�F�e�e)W1G
0u�}%F.v�T,Z'X&j0P�o3F0u 如何处理输入
$Q%F�V�S�\�M�M�r'e�P�l�K0�a;p�^)S�])d�\:p03)身份验证
5q+h�K�Z1\'e k-y�W0�n�O�\�K1R�] X0u 是否区分公共访问和受限访问
7~�p�j/Z�[/Z01}�C8{�^�P1n0u 是否明确服务帐户要求
�Y�u.g9D�R�j+z051Testing软件测试网6?�I y
f�Hu 如何验证调用者身份51Testing软件测试网�W�y#r"?1{�w
51Testing软件测试网�I�b�n/{�m�Qu 如何验证数据库的身份51Testing软件测试网�{)E�Z�w,O�D�b(J�Y�Y�G
51Testing软件测试网�h�X,]�O�`
M�^u 是否强制试用帐户管理措施51Testing软件测试网2O&i.Q(R�_�F�c-Y
'Q'?-t9l�X9Z0c�f _�Y2C04)授权51Testing软件测试网*H�T�w:w&P
\
51Testing软件测试网-M�i7n�B�s6_�du 如何向最终用户授权
�[�O�y�I�_�k051Testing软件测试网�A7z.H&u'U�I'd�p�tu 如何在数据库中授权应用程序
i�?;V�p�K&B�S @051Testing软件测试网�]�{/D m
T�{%@�@ ku 如何将访问限定于系统级资源51Testing软件测试网�[�q�w7z�p
&O K"Y-p�X�s�\�n�J05)配置管理51Testing软件测试网�K)p,Z�d(H�k�y�t+O6u
51Testing软件测试网,F�n�C(W�h)M/Xu 是否支持远程管理
8a6h/S)]0U�j0�\2@�i$L�q6M*i�S�x0u 是否保证配置存储的安全
.j�p1B�}�n�[�r0#k%]6V%\;V)K�u1`7T�A0u 是否隔离管理员特权51Testing软件测试网%X�\'k�w4h0F3k�D
3d#o�z�_'c�C g�x,V06)敏感数据51Testing软件测试网"K5s�A a"|3_�S
51Testing软件测试网�_5t(h%U�}�G�Y4G1U�}u 是否存储机密信息
�~�@�Y _�E�G,U�{0 m1k,q�p�W�[2g!L.u0u 如何存储敏感数据51Testing软件测试网)v�?�x6Q�n4H3S�x�Z�~
51Testing软件测试网.q(T)L�r�T;i�V�a�Ku 是否在网络中传递敏感数据51Testing软件测试网'w"_4q�^�X�h�v�n
51Testing软件测试网�D�p�y�@;K%N�Eu 是否记录敏感数据51Testing软件测试网�^�b*\�u X�h�b�^
51Testing软件测试网 \�]�`�s
{*u G�@7)会话管理51Testing软件测试网7k�`6v*W.X�v
F&@�C
51Testing软件测试网�]�s l�_"d'{u 如何交换会话标识符51Testing软件测试网�n�^�P/~(u#?
�d2C�~,d/_ ^0u 是否限制会话生存期51Testing软件测试网5~!{7D+e5Y.w�\
51Testing软件测试网�b
u1\�_!x�V�G�j6~�D�Du 如何确保会话存储状态的安全
�n�y"{�L7@0.D!B7{�V�W'{08)加密51Testing软件测试网
Y%?�v*s7Q�R
�U v)h'H)x�i$^
x9L0u 为何使用特定的算法
+{�Q�c�b�O�h�R;g+~051Testing软件测试网�|�D1n�l�v4ou 如何确保加密密钥的安全性51Testing软件测试网)}�F#V+j4]�r:n/S
51Testing软件测试网)~1O�V"@3F�K�|
N9)参数操作51Testing软件测试网�j:X�E9K�j�F8c�l
51Testing软件测试网9z�q�?'U�[ O+@)y
H;Pu 是否验证所有的输入参数
�F&})l2I
a�h"i0�w"S�j#W�v�T#x0u 是否在参数过程中传递敏感数据51Testing软件测试网 R�p�@7~�{%R�w
�w�}�U�|�t8l�f0u 是否为了安全问题而使用HTTP头数据51Testing软件测试网/`�p#V�j�{
E
51Testing软件测试网�K�B:f�q�x%i10)异常管理51Testing软件测试网�j�d�W2O�I#q2r
4i
i�l
] o:_�H0u 是否使用结构化的异常处理
1~:Q9n%M�H�T051Testing软件测试网�A:@�{�G(n!ru 是否向客户端公开了太多的信息
�E�E�b�~+F;E9I#}�m051Testing软件测试网�E�l9X�[8V5@11)审核和日志记录
5~�g+`-@�A2Z051Testing软件测试网6w�G m*E J�T�\ X3Yu 是否明确了要审核的活动51Testing软件测试网
V�q!U�`�e
:{�d:P
a�b0u 是否考虑如何流动原始调用这身份
5u/g/N�e�V-@�h051Testing软件测试网$G3x,U�W*B2.应用及传输安全
*f6q2l�Q�Q�e�Z S�z051Testing软件测试网�R�Z�D.n�m�f�\1]�pWEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全,安全性测试也可以从这两方面入手。
R+v�q6x�B8H�s051Testing软件测试网
a$j�M6g�B-e�h+m应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患,主要测试区域如下。
5q'[3C�V�~ e�S�\1I�L09I�P-w"P'A4|�Q�H3_6W(m01. 注册与登陆:现在的Web应用系统基本采用先注册,后登录的方式。51Testing软件测试网�_�~�Z*u�g�q�g5c
�`&y�@�C�?0Z+^6K�S0u 必须测试有效和无效的用户名和密码
�g'@�Y�c�y
t j%j!P�P�a0+T6n3~�p.?�h�G
y%K0u 要注意是否存在大小写敏感51Testing软件测试网&E�V }-_0M
s
/J"}�k*f$C&i�r U�U0u 可以尝试多少次的限制
+h;e
L�^�k-|�p�l051Testing软件测试网�r�B�j�a�}'k$R hu 是否可以不登录而直接浏览某个页面等。
R�H�a
|�e L8[051Testing软件测试网8J�D�j�r"J�B�O�k�}�T2. 在线超时:Web应用系统是否有超时的限制,也就是说,用户登陆一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
�p�~
B�{#D�N"?�n0�y�q�C�O�g�b;M03. 操作留痕:为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。51Testing软件测试网8M6]�i�N6d�`
51Testing软件测试网"\#j R�V#j�K�d3i�t4. 备份与恢复:为了防范系统的意外崩溃造成的数据丢失,备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对安全性的要求可以采用多种手段,如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的安全性要求,某些实时系统经常会采用双机热备或多级热备。除了对于这些备份与恢复方式进行验证测试以外,还要评估这种备份与恢复方式是否满足Web系统的安全性需求。传输级的安全测试是考虑到Web系统的传输的特殊性,重点测试数据经客户端传送到服务器端可能存在的安全漏洞,以及服务器防范非法访问的能力。一般测试项目包括以下几个方面。
9l n%M!d�?�Z�k05?�H:E5b
B6p$M05. HTTPS和SSL测试:默认的情况下,安全HTTP(Soure HTTP)通过安全套接字SSL(Source Socket Layer)协议在端口443上使用普通的HTTP。HTTPS使用的公共密钥的加密长度决定的HTTPS的安全级别,但从某种意义上来说,安全性的保证是以损失性能为代价的。除了还要测试加密是否正确,检查信息的完整性和确认HTTPS的安全级别外,还要注意在此安全级别下,其性能是否达到要求。
�`,y3[(d4U�@�g051Testing软件测试网(~7K3g�`&}�o6G%r-G(v�j�C6. 服务器端的脚本漏洞检查:存在于服务器端的脚本常常构成安全漏洞,这些漏洞又往往被黑客利用。所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。
6|�P�?,F"`�Y051Testing软件测试网�y�K�u9`�s�`�A7. 防火墙测试:防火墙是一种主要用于防护非法访问的路由器,在Web系统中是很常用的一种安全系统。防火墙测试是一个很大很专业的课题。这里所涉及的只是对防火墙功能、设置进行测试,以判断本Web系统的安全需求。
