Web安全测试的步骤参照.pdfVIP

安全测试方面应该参照 spi 的 web 安全 top 10 来进行。 目前做软件测试人员可能对安全性测试了解不够，测试结果不是很好。如 果 经验不足，测试过程中可以采用一些较专业的 web 安全测试工具，如 WebInspect、 Acunetix.Web.Vulerability.Scanner 等，不过自动化 web 安全测试的最大缺陷就是误 报太多，需要认为审核测试结果，对报 告进行逐项手工检测核对。 对于 web 安全的测试用例，可以参照 top 10 来写，如果写一个详细的测试用 例，还是比较麻烦的，建议采用安全界常用的 web 渗透报告结合 top10 来写就可以 了。 现在有专门做系统和网站安全检测的公司，那里做安全检测的人的技术都很好， 大多都是红客。 再补充点，网站即使站点不接受信用卡支付，安全问题也是非常重要的。 Web 站点收集的用户资料只能在公司内部使用。如果用户信息被黑客泄露，客户在进行 交易时，就不会有安全感。 目录设置 Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面，这样就不会显示该目录下的所有内容。我服务的一个公司没有执 行这条规则。我选中一幅图片，单击鼠标右键，找到该图片所在的路 径 " …com/objects/images".然后在浏览器地址栏中手工输入该路径，发现该站点所有 图片的列表。这可能没什么关系。我进入下一级目录 " …com/objects" ，点击 jackpot.在该目录下有很多资料，其中引起我注意的是已过期页面。该公司每个月 都要更改产品价格，并且保存过期页面。我翻看了一下这些记录，就可以 估计他 们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈 判之前查看了这些信息，他们在谈判桌上肯定处于上风。 SSL 很多站点使用 SSL 进行安全传送。你知道你进入一个 SSL 站点是因为浏览器 出现了警告消息，而且在地址栏中的 HTTP 变成 HTTPS.如果开发部门使用了 SSL， 测试人员需要确定是否有相应的替代页面（适用于 3.0 以下版本的浏览器，这些浏 览器不支持 SSL.当用户进入或离开安全站点的时候，请确认有相应的提示信息。 是否有连接时间限制？超过限制时间后出现什么情 况？ 登录 有些站点需要用户进行登录，以验证他们的身份。这样对用户是方便的，他们 不需要每次都输入个人资料。你需要验证系统阻止非法的用户名 / 口令登 录，而能 够通过有效登录。用户登录是否有次数限制？ 是否限制从某些 IP 地址登录？ 如果 允许登录失败的次数为 3，你在第三次登录的时候输入正确的用户名和口令，能通 过验证吗？ 口令选择有规则限制吗？ 日志文件 在后台，要注意验证服务器日志工作正常。日志是否记所有的事务处理？ 是 否记录失败的注册企图？ 是否记录被盗信用卡的使用？ 是否在每次事务完成的时 候都进行保存？ 记录 IP 地址吗？ 记录用户名吗？ 脚本语言脚本语言是常见的安全隐患。每种语言的细节有所不同。有些脚本允 许访问根目录。其他只允许访问邮件服务器，但是经验丰富的黑客可以将服务器用 户名和口令发送给他们自己。找出站点使用。 实战 Web 安