一个完整的web安全测试可以从部署和基础设施、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密等方面进行。参数操作、异常管理、审计和日志记录。
部署拓扑是否包括远程应用程序服务器
D、 传递给组件或web服务的参数是否经过验证
web应用系统的安全性从使用的角度可以分为应用级安全和传输级安全,安全性测试也可以从这两个方面着手。
应用级安全测试的主要目的是找出web系统自身程序设计中存在的安全隐患。主要测试区域如下。
注册与登录:目前的web应用系统基本上采取先注册后登录的方式。
D、 是否可以在不登录的情况下直接浏览页面。
在线超时:web应用系统是否有超时限制,即用户在登录后一定时间内(如15分钟)没有点击任何页面,是否需要重新登录才能正常使用。
操作跟踪:为了保证web应用系统的安全,日志文件非常重要。需要测试相关信息是否写入日志文件,是否可以跟踪。
备份和恢复:为了防止由于系统意外崩溃而造成的数据丢失,备份和恢复方法是web系统的一项必要功能。根据数据库备份和完全备份的要求,系统可以采用数据库备份和完全备份等多种方式。为了满足更高的安全要求,一些实时系统通常采用双热备或多级热备。除了对这些备份和恢复方法进行验证测试外,还应评估这些备份和恢复方法是否满足web系统的安全要求。
传输级安全测试是考虑web系统传输的特殊性,重点测试数据从客户端传输到服务器时可能存在的安全漏洞,以及服务器防止非法访问的能力。一般测试项目包括以下几个方面。
HTTPS和SSL测试:默认情况下,securehttp(sourehttp)通过securesocketssl(源套接字层)协议在端口443上使用普通http。公钥的加密长度决定了HTTPS的安全级别,但从某种意义上讲,安全是以性能损失为代价的。除了测试加密是否正确,检查信息的完整性,确认HTTPS的安全级别外,还要注意其性能是否满足该安全级别下的要求。
服务器端脚本漏洞检查:存在于服务器端的脚本往往构成安全漏洞,经常被黑客利用。因此,我们还应该测试脚本不能在未经授权的情况下放置和编辑服务器端的问题。
防火墙测试:防火墙是一种主要用于防止非法访问的路由器。它是web系统中常用的安全系统。防火墙测试是一个专业的大课题。这里所涉及的只是对防火墙的功能和设置进行测试,以判断该web系统的安全需求。