Web安全測試主要是指測試系統(tǒng)在沒有授權(quán)的情況下,內(nèi)部或者外部用戶對系統(tǒng)進行攻擊或者惡意破壞時如何進行處理���,是否還能保證數(shù)據(jù)的安全���,測試時主要測試以下幾個部分。
1. 目錄設(shè)置��。Web安全的第一步就是正確設(shè)置目錄�,每個目錄下應該有index.html 或main.html頁面,這樣就不會顯示該目錄下的所有內(nèi)容�����。如果開發(fā)部門使用了ssl����,測試人員需要確定是否有相應的替代頁面(適用于3.0以下版本的瀏覽器,這些瀏覽器不支持ssl)��。 當用戶進入或離開安全站點的時候����,請確認有相應的提示信息。是否有連接時間限制�,超過限制時間后出現(xiàn)什么情況,這些問題點都需要測試��。
2. 登錄��。有些站點需要用戶進行登錄�,以驗證他們的身份。這樣對用戶是方便的����,他們不需要每次都輸入個人資料。 你需要驗證系統(tǒng)阻止非法的用戶名/口令登錄�,而能夠通過有效登錄。登錄主要測試是否有次數(shù)限制��,是否限制從某些IP地址登錄��,口令是否有規(guī)則限制等��。
3. 日志文件��。在后臺要注意驗證服務器日志工作正常���,日志是否記錄所有的事務處理����,是否記錄失敗的頁面請求,是否在每次事務完成的時候都進行保存等�。
4. 腳本語言。腳本語言是常見的安全隱患���,每種語言的細節(jié)都有所不同��,有些腳本允許訪問根目錄�����,其他只允許訪問郵件服務器�。測試時要找出站點使用了哪些腳本語言��,并研究該語言的缺陷�。
本文內(nèi)容不用于商業(yè)目的,如涉及知識產(chǎn)權(quán)問題�,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理�����,馬上刪除�。
sales@spasvo.com
