Web安全測試主要是指測試系統(tǒng)在沒有授權(quán)的情況下��,內(nèi)部或者外部用戶對系統(tǒng)進(jìn)行攻擊或者惡意破壞時如何進(jìn)行處理��,是否還能保證數(shù)據(jù)的安全����,測試時主要測試以下幾個部分�����。
1. 目錄設(shè)置�����。Web安全的第一步就是正確設(shè)置目錄����,每個目錄下應(yīng)該有index.html 或main.html頁面,這樣就不會顯示該目錄下的所有內(nèi)容���。如果開發(fā)部門使用了ssl�����,測試人員需要確定是否有相應(yīng)的替代頁面(適用于3.0以下版本的瀏覽器��,這些瀏覽器不支持ssl)�����。 當(dāng)用戶進(jìn)入或離開安全站點的時候�����,請確認(rèn)有相應(yīng)的提示信息����。是否有連接時間限制�����,超過限制時間后出現(xiàn)什么情況���,這些問題點都需要測試����。
2. 登錄。有些站點需要用戶進(jìn)行登錄����,以驗證他們的身份。這樣對用戶是方便的��,他們不需要每次都輸入個人資料����。 你需要驗證系統(tǒng)阻止非法的用戶名/口令登錄,而能夠通過有效登錄���。登錄主要測試是否有次數(shù)限制�,是否限制從某些IP地址登錄�,口令是否有規(guī)則限制等。
3. 日志文件����。在后臺要注意驗證服務(wù)器日志工作正常����,日志是否記錄所有的事務(wù)處理���,是否記錄失敗的頁面請求,是否在每次事務(wù)完成的時候都進(jìn)行保存等����。
4. 腳本語言。腳本語言是常見的安全隱患�����,每種語言的細(xì)節(jié)都有所不同�,有些腳本允許訪問根目錄,其他只允許訪問郵件服務(wù)器�����。測試時要找出站點使用了哪些腳本語言�,并研究該語言的缺陷。
本文內(nèi)容不用于商業(yè)目的�,如涉及知識產(chǎn)權(quán)問題,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054)�����,我們將立即處理,馬上刪除����。
sales@spasvo.com
