網(wǎng)站測試如何做好安全性測試

第第頁網(wǎng)站測試如何做好安全性測試？網(wǎng)站測試如何做好安全性測試？

發(fā)表于：2023-04-20來源：：點擊數(shù)：標簽：

軟件測試每周一問：隨著網(wǎng)絡發(fā)展的趨勢，對于網(wǎng)站的安全性的要求也越來越高，很多網(wǎng)站都存在被黑客攻擊的漏洞，你在網(wǎng)站測試中有做到安全性測試嗎？你覺得安全測試應該從哪些方面來檢查？歡迎大家討論交流！會員賣燒烤的魚的精彩回答：安全性測試（se

軟件測試每周一問：隨著網(wǎng)絡發(fā)展的趨勢，對于網(wǎng)站的安全性的要求也越來越高，很多網(wǎng)站都存在被黑客攻擊的漏洞，你在網(wǎng)站測試中有做到安全性測試嗎？你覺得安全測試應該從哪些方面來檢查？歡迎大家討論交流！會員賣燒烤的魚的精彩回答：

安全性測試（securitytesting）是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。

注意：安全性測試并不最終證明應用程序是安全的，而是用于驗證所設立策略的有效性，這些對策是基于威脅分析階段所做的假設而選擇的。

以下是我讀軟件評測試教程中的Web安全性測試章節(jié)內(nèi)容，并進行修改的筆記，前面看了好多朋友寫的，不過不是很全，希望對大家有所幫助，建議大家還是買本軟件評測試教程此書絕對物超所值^_^

WEB安全性測試

一個完整的WEB安全性測試可以從部署與基礎結(jié)構(gòu)、輸入驗證、身份驗證、授權、配置管理、敏感數(shù)據(jù)、會話管理、加密。參數(shù)操作、異常管理、審核和日志記錄等幾個方面入手。

1.安全體系測試

1)部署與基礎結(jié)構(gòu)

網(wǎng)絡是否提供了安全的通信

部署拓撲結(jié)構(gòu)是否包括內(nèi)部的防火墻

部署拓撲結(jié)構(gòu)中是否包括遠程應用程序服務器

基礎結(jié)構(gòu)安全性需求的限制是什么

目標環(huán)境支持怎樣的信任級別

2)輸入驗證

l如何驗證輸入

A.是否清楚入口點

B.是否清楚信任邊界

C.是否驗證Web頁輸入

D.是否對傳遞到組件或Web服務的參數(shù)進行驗證

E.是否驗證從數(shù)據(jù)庫中檢索的數(shù)據(jù)

F.是否將方法集中起來

G.是否依賴客戶端的驗證

H.應用程序是否易受SQL注入攻擊

I.應用程序是否易受XSS攻擊

l如何處理輸入

3)身份驗證

是否區(qū)分公共訪問和受限訪問

是否明確服務帳戶要求

如何驗證調(diào)用者身份

如何驗證數(shù)據(jù)庫的身份

是否強制試用帳戶管理措施

4)授權

如何向最終用戶授權

如何在數(shù)據(jù)庫中授權應用程序

如何將訪問限定于系統(tǒng)級資源

5)配置管理

是否支持遠程管理

是否保證配置存儲的安全

是否隔離管理員特權

6)敏感數(shù)據(jù)

是否存儲機密信息

如何存儲敏感數(shù)據(jù)

是否在網(wǎng)絡中傳遞敏感數(shù)據(jù)

是否記錄敏感數(shù)據(jù)

7)會話管理

如何交換會話標識符

是否限制會話生存期

如何確保會話存儲狀態(tài)的安全

8)加密

為何使用特定的算法

如何確保加密密鑰的安全性

9)參數(shù)操作

是否驗證所有的輸入?yún)?shù)

是否在參數(shù)過程中傳遞敏感數(shù)據(jù)

是否為了安全問