【互联网行业】网站测试-网站测试方法之安全测试.pdf

星期八职场经验网 （） 【现成经验助你快速完成工作】 网站测试方法之安全测试 Web应用系统的安全性测试区域主要有： ●目录设置 Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面，这样就不会显示该目录下的所有内容。如果没有执行这条规则。 “ 那么选中一幅图片，单击鼠标右键，找到该图片所在的路径 … ” com/objects/images 。然后在浏览器地址栏中手工输入该路径，发现该站点所 “ ” 有图片的列表。这可能没什么关系。但是进入下一级目录 …com/objects ， 点击 jackpot。在该目录下有很多资料，其中有些都是已过期页面。如果该公司 每个月都要更改产品价格信息，并且保存过期页面。那么只要翻看了一下这些记 录，就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空 间。如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风。 1 星期八职场经验网 （） 【现成经验助你快速完成工作】 ●登录 现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效 和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否 可以不登陆而直接浏览某个页面等。 ●Session Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内 （例 如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。 ●日志文件 为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信 息是否写进了日志文件、是否可追踪。 2 星期八职场经验网 （） 【现成经验助你快速完成工作】 ●加密 当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。 ●安全漏洞 服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还 要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。 目前网络安全问题日益重要，特别对于有交互信息的网站及进行电子商务活 动的网站尤其重要。目前我们的测试没有涵盖网站的安全性的测试，我们拟定采 用工具来测定。 工具如下 SAINT Security Administrator’s Integrated Network Tool 3 星期八职场经验网 （） 【现成经验助你快速完成工作】 此工具能够测出网站系统的相应的安全问题，并且能够给出安全漏洞的解决 方案，不过是一些较为常见的漏洞解决方案。 7 代码合法性测试 代码合法性测试主要包括2个部分：程序代码合法性检查与显示代码合法性 检查。 ●程序代码合法性检查 程序代码合法性检查主要标准为《intergrp小组编程规范》，目前采用由SCM 管理员进行规范的检查，未来期望能够有相应的工具进行测试。 ●显示代码合法性检查 4 星期八职场经验网 （） 【现成经验