【转】在网站测试中如何做好安全性测试？

　　一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。51Testing软件测试网AE;i Xv.g6z.H5c8s
1.        安全体系测试51Testing软件测试网G$L7JFPM-ai
1)        部署与基础结构
#[+X9PU#Z)v
P3P2L;{0　　网络是否提供了安全的通信
_tcy g0　　部署拓扑结构是否包括内部的防火墙51Testing软件测试网#wyhx}
　　部署拓扑结构中是否包括远程应用程序服务器
2B*j!X^"Jv(y0　　基础结构安全性需求的限制是什么51Testing软件测试网j+j&}I\|i
　　目标环境支持怎样的信任级别51Testing软件测试网)x3H!R{__{q1P
2)        输入验证
ZQ.j Wh-`,r
w0l        如何验证输入51Testing软件测试网6Nx(w e;h"Zt
A.        是否清楚入口点
:`Do7p#v)cs0B.        是否清楚信任边界
.c%eE?0qf"mD4OS0C.        是否验证Web页输入
5ulNfL0D.        是否对传递到组件或Web服务的参数进行验证51Testing软件测试网:uy*KB oh
E.        是否验证从数据库中检索的数据51Testing软件测试网Zkgj];|^.jI E
F.        是否将方法集中起来
nT7T4g+Z*v&Y6q0G.        是否依赖客户端的验证

O F2E'kV(vc+W1D0H.       应用程序是否易受SQL注入攻击51Testing软件测试网Q\Sa TdQ
I.        应用程序是否易受XSS攻击
#\Z~`]BWOw0l        如何处理输入51Testing软件测试网| q"h?j|
3)        身份验证
9l,C,IM(U1m:L!a0　　是否区分公共访问和受限访问
1X/j8f6iO6d0　　是否明确服务帐户要求
`x4? ^6L i&B0　　如何验证调用者身份
S6pHAr(d0　　如何验证数据库的身份
E&NW.oT]3d R%_{0　　是否强制试用帐户管理措施
5a2R,~ z/L~;_/Xl04)        授权51Testing软件测试网#we][oH ^9P
　　如何向最终用户授权51Testing软件测试网G;bP|#C7?d1l
JA
　　如何在数据库中授权应用程序51Testing软件测试网K%K0?yI1T
　　如何将访问限定于系统级资源51Testing软件测试网I0Ec!b)~'hz
5)        配置管理
{2p \"J2iR0　　是否支持远程管理51Testing软件测试网njl1qTP@LN
　　是否保证配置存储的安全51Testing软件测试网Q^0]lt
?y7l
　　是否隔离管理员特权
/[F'P hR5v,BE4T4v$N8m06)        敏感数据51Testing软件测试网lb Z2L:e%t/F};k;f^
　　是否存储机密信息51Testing软件测试网d8Lw/B||/_D D
　　如何存储敏感数据
$lnamN d%UG0　　是否在网络中传递敏感数据
1vx Z ]c-G_0　　是否记录敏感数据
L4y:s,g {07)        会话管理51Testing软件测试网d&n h9}+uk@h?D*~
　　如何交换会话标识符51Testing软件测试网;LH.H|;k
　　是否限制会话生存期51Testing软件测试网O)G`0{w*ti(F:l
　　如何确保会话存储状态的安全
z ii4?#fN0}U\08)        加密
[;o-Eg ]6p6]1j$V0　　为何使用特定的算法51Testing软件测试网 se,Fu4B
　　如何确保加密密钥的安全性51Testing软件测试网Z6vY;qL6p
9)        参数操作
](};o|9}.\:A0　　是否验证所有的输入参数51Testing软件测试网^_ |Q5?u,iv
　　是否在参数过程中传递敏感数据51Testing软件测试网.bTD~1[4I"F'x~
　　是否为了安全问题而使用HTTP头数据
|-cL}6fm
[.|Z'x010)        异常管理
l[*v|w(NLz0　　是否使用结构化的异常处理51Testing软件测试网]O0qo]1b'{-H
　　是否向客户端公开了太多的信息
+c?9F:l+O'Y011)        审核和日志记录51Testing软件测试网Oi
_n%_+y
　　是否明确了要审核的活动
b `}8KG2d&B^0　　是否考虑如何流动原始调用这身份
oS2V Zt02.        应用及传输安全
9E,Q I6iP.M[0　　WEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全，安全性测试也可以从这两方面入手。
d2X;}%lm0　　应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患，主要测试区域如下。51Testing软件测试网v.P
GGP.x4^/n5v})z
　　注册与登陆：现在的Web应用系统基本采用先注册，后登录的方式。
L+DqGvx-a:n[`J)ta0A.        必须测试有效和无效的用户名和密码51Testing软件测试网 n E*iF)M?5I
B.        要注意是否存在大小写敏感，51Testing软件测试网ge ?Lf2}p"Sx
C.        可以尝试多少次的限制51Testing软件测试网's&Q3Y0o0@U%C
D.        是否可以不登录而直接浏览某个页面等。51Testing软件测试网:{9oLX(BUP
　　在线超时：Web应用系统是否有超时的限制，也就是说，用户登陆一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。51Testing软件测试网g6i Yp8j+_ X.py}@+F
　　操作留痕：为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进入了日志文件，是否可追踪。51Testing软件测试网0]2I1S8P4q x
　　备份与恢复：为了防范系统的意外崩溃造成的数据丢失，备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对安全性的要求可以采用多种手段，如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的安全性要求，某些实时系统经常会采用双机热备或多级热备。除了对于这些备份与恢复方式进行验证测试以外，还要评估这种备份与恢复方式是否满足Web系统的安全性需求。51Testing软件测试网V5T8o*aPG(^Y
　　传输级的安全测试是考虑到Web系统的传输的特殊性，重点测试数据经客户端传送到服务器端可能存在的安全漏洞，以及服务器防范非法访问的能力。一般测试项目包括以下几个方面。51Testing软件测试网7l C!~ L5GYSOj
　　HTTPS和SSL测试：默认的情况下，安全HTTP（Soure HTTP）通过安全套接字SSL（Source Socket Layer）协议在端口443上使用普通的HTTP。HTTPS使用的公共密钥的加密长度决定的HTTPS的安全级别，但从某种意义上来说，安全性的保证是以损失性能为代价的。除了还要测试加密是否正确，检查信息的完整性和确认HTTPS的安全级别外，还要注意在此安全级别下，其性能是否达到要求。51Testing软件测试网4O7S*EQ`-X
　　服务器端的脚本漏洞检查：存在于服务器端的脚本常常构成安全漏洞，这些漏洞又往往被黑客利用。所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。51Testing软件测试网}g+Qou.{b/P5f0Tq
　　防火墙测试：防火墙是一种主要用于防护非法访问的路由器，在Web系统中是很常用的一种安全系统。防火墙测试是一个很大很专业的课题。这里所涉及的只是对防火墙功能、设置进行测试，以判断本Web系统的安全需求。

另推荐安全性测试工具：51Testing软件测试网i6Z:@e"f.^TC
　　Watchfire AppScan：商业网页漏洞扫描器(此工具好像被IBM收购了，所以推荐在第一位)51Testing软件测试网6B7P&G4o
dB
　　AppScan按照应用程序开发生命周期进行安全测试，早在开发阶段就进行单元测试和安全保证。Appscan能够扫描多种常见漏洞，例如跨网站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。
)m5v.ii/o R0　　Acunetix Web Vulnerability Scanner：商业漏洞扫描器(目前用的比较多，不过这东东N占内存)51Testing软件测试网y#f5D5O7?#`C0Ay
Acunetix WVS自动检查您的网页程序漏洞，例如SQL注入、跨网站脚本和验证页面弱密码破解。Acunetix WVS有着非常友好的用户界面，还可以生成个性化的网站安全评估报告。51Testing软件测试网*fe;[`1Z8or8d0N

E@sO2p(h0来源：http://www.51testing.com/html/200805/n83521.html51Testing软件测试网8V|m.t k5_AQ