安全性測試涉及的內容參考模板

1、安全性測試涉及的內容一個完整的WEB安全性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密。參數操作、異常管理、審核和日志記錄等幾個方面入手。1.安全體系測試1)部署與基礎結構網絡是否提供了安全的通信部署拓撲結構是否包括內部的防火墻部署拓撲結構中是否包括遠程應用程序服務器基礎結構安全性需求的限制是什么目標環(huán)境支持怎樣的信任級別2)輸入驗證如何驗證輸入A.是否清楚入口點B.是否清楚信任邊界C.是否驗證Web頁輸入D.是否對傳遞到組件或Web服務的參數進行驗證E.是否驗證從數據庫中檢索的數據F.是否將方法集中起來G.是否依賴客戶端的驗證H.應用程序是否易受SQ

2、L注入攻擊I.應用程序是否易受XSS攻擊如何處理輸入2 / 93)身份驗證是否區(qū)分公共訪問和受限訪問是否明確服務帳戶要求如何驗證調用者身份如何驗證數據庫的身份是否強制試用帳戶管理措施4)授權如何向最終用戶授權如何在數據庫中授權應用程序如何將訪問限定于系統(tǒng)級資源5)配置管理是否支持遠程管理是否保證配置存儲的安全是否隔離管理員特權6)敏感數據是否存儲機密信息如何存儲敏感數據是否在網絡中傳遞敏感數據是否記錄敏感數據7)會話管理如何交換會話標識符是否限制會話生存期如何確保會話存儲狀態(tài)的安全8)加密為何使用特定的算法如何確保加密密鑰的安全性9)參數操作是否驗證所有的輸入參數是否在參數過程中傳遞敏感數據是

3、否為了安全問題而使用HTTP頭數據10)異常管理是否使用結構化的異常處理是否向客戶端公開了太多的信息11)審核和日志記錄是否明確了要審核的活動是否考慮如何流動原始調用這身份2.應用及傳輸安全WEB應用系統(tǒng)的安全性從使用角度可以分為應用級的安全與傳輸級的安全，安全性測試也可以從這兩方面入手。應用級的安全測試的主要目的是查找Web系統(tǒng)自身程序設計中存在的安全隱患，主要測試區(qū)域如下。注冊與登陸：現在的Web應用系統(tǒng)基本采用先注冊，后登錄的方式。A.必須測試有效和無效的用戶名和密碼B.要注意是否存在大小寫敏感，C.可以嘗試多少次的限制D.是否可以不登錄而直接瀏覽某個頁面等。在線超時：Web應用系統(tǒng)是否

4、有超時的限制，也就是說，用戶登陸一定時間內（例如15分鐘）沒有點擊任何頁面，是否需要重新登陸才能正常使用。操作留痕：為了保證Web應用系統(tǒng)的安全性，日志文件是至關重要的。需要測試相關信息是否寫進入了日志文件，是否可追蹤。備份與恢復：為了防范系統(tǒng)的意外崩潰造成的數據丟失，備份與恢復手段是一個Web系統(tǒng)的必備功能。備份與恢復根據Web系統(tǒng)對安全性的要求可以采用多種手 段，如數據庫增量備份、數據庫完全備份、系統(tǒng)完全備份等。出于更高的安全性要求，某些實時系統(tǒng)經常會采用雙機熱備或多級熱備。除了對于這些備份與恢復方式 進行驗證測試以外，還要評估這種備份與恢復方式是否滿足Web系統(tǒng)的安全性需求。傳輸級的安全

5、測試是考慮到Web系統(tǒng)的傳輸的特殊性，重點測試數據經客戶端傳送到服務器端可能存在的安全漏洞，以及服務器防范非法訪問的能力。一般測試項目包括以下幾個方面。HTTPS和SSL測試：默認的情況下，安全HTTP（Soure HTTP）通過安全套接字SSL（Source Socket Layer）協(xié)議在 端口443上使用普通的HTTP。HTTPS使用的公共密鑰的加密長度決定的HTTPS的安全級別，但從某種意義上來說，安全性的保證是以損失性能為代價 的。除了還要測試加密是否正確，檢查信息的完整性和確認HTTPS的安全級別外，還要注意在此安全級別下，其性能是否達到要求。服務器端的腳本漏洞檢查：存在于服務器端的腳本常常構成安全漏洞，這些漏洞又往往被黑客利用。所以，還要測試沒有經過授權，就不能在服務器端放置和編輯腳本的問題。防火墻測試：防火墻是一種主要用于防護非法訪問的路由器，在Web系統(tǒng)中是很常用的一種安全系統(tǒng)。防火墻測試是一個很大很專業(yè)的課題。這里所涉及的只是對防火墻功能、設置進行測試，以判斷本Web系統(tǒng)的安全需求。另推薦安全性測試工具：Watchfire AppScan：商業(yè)網頁漏洞掃描器(此工具好像被IBM收購了，所以推薦在第一位)AppScan按照應用程序開發(fā)生