Web安全測(cè)試主要是指測(cè)試系統(tǒng)在沒(méi)有授權(quán)的情況下,內(nèi)部或者外部用戶對(duì)系統(tǒng)進(jìn)行攻擊或者惡意破壞時(shí)如何進(jìn)行處理,是否還能保證數(shù)據(jù)的安全,測(cè)試時(shí)主要測(cè)試以下幾個(gè)部分。
1. 目錄設(shè)置。Web安全的第一步就是正確設(shè)置目錄,每個(gè)目錄下應(yīng)該有index.html 或main.html頁(yè)面,這樣就不會(huì)顯示該目錄下的所有內(nèi)容。如果開(kāi)發(fā)部門(mén)使用了ssl,測(cè)試人員需要確定是否有相應(yīng)的替代頁(yè)面(適用于3.0以下版本的瀏覽器,這些瀏覽器不支持ssl)。 當(dāng)用戶進(jìn)入或離開(kāi)安全站點(diǎn)的時(shí)候,請(qǐng)確認(rèn)有相應(yīng)的提示信息。是否有連接時(shí)間限制,超過(guò)限制時(shí)間后出現(xiàn)什么情況,這些問(wèn)題點(diǎn)都需要測(cè)試。
2. 登錄。有些站點(diǎn)需要用戶進(jìn)行登錄,以驗(yàn)證他們的身份。這樣對(duì)用戶是方便的,他們不需要每次都輸入個(gè)人資料。 你需要驗(yàn)證系統(tǒng)阻止非法的用戶名/口令登錄,而能夠通過(guò)有效登錄。登錄主要測(cè)試是否有次數(shù)限制,是否限制從某些IP地址登錄,口令是否有規(guī)則限制等。
3. 日志文件。在后臺(tái)要注意驗(yàn)證服務(wù)器日志工作正常,日志是否記錄所有的事務(wù)處理,是否記錄失敗的頁(yè)面請(qǐng)求,是否在每次事務(wù)完成的時(shí)候都進(jìn)行保存等。
4. 腳本語(yǔ)言。腳本語(yǔ)言是常見(jiàn)的安全隱患,每種語(yǔ)言的細(xì)節(jié)都有所不同,有些腳本允許訪問(wèn)根目錄,其他只允許訪問(wèn)郵件服務(wù)器。測(cè)試時(shí)要找出站點(diǎn)使用了哪些腳本語(yǔ)言,并研究該語(yǔ)言的缺陷。
本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問(wèn)題,請(qǐng)權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。