Web安全測試主要是指測試系統(tǒng)在沒有授權的情況下��,內(nèi)部或者外部用戶對系統(tǒng)進行攻擊或者惡意破壞時如何進行處理��,是否還能保證數(shù)據(jù)的安全���,測試時主要測試以下幾個部分����。
1. 目錄設置�����。Web安全的第一步就是正確設置目錄��,每個目錄下應該有index.html 或main.html頁面��,這樣就不會顯示該目錄下的所有內(nèi)容�����。如果開發(fā)部門使用了ssl��,測試人員需要確定是否有相應的替代頁面(適用于3.0以下版本的瀏覽器,這些瀏覽器不支持ssl)����。 當用戶進入或離開安全站點的時候,請確認有相應的提示信息��。是否有連接時間限制�,超過限制時間后出現(xiàn)什么情況,這些問題點都需要測試��。
2. 登錄�����。有些站點需要用戶進行登錄�,以驗證他們的身份。這樣對用戶是方便的���,他們不需要每次都輸入個人資料。 你需要驗證系統(tǒng)阻止非法的用戶名/口令登錄��,而能夠通過有效登錄����。登錄主要測試是否有次數(shù)限制�����,是否限制從某些IP地址登錄�����,口令是否有規(guī)則限制等�。
3. 日志文件��。在后臺要注意驗證服務器日志工作正常�����,日志是否記錄所有的事務處理�����,是否記錄失敗的頁面請求�����,是否在每次事務完成的時候都進行保存等�。
4. 腳本語言。腳本語言是常見的安全隱患,每種語言的細節(jié)都有所不同�,有些腳本允許訪問根目錄,其他只允許訪問郵件服務器���。測試時要找出站點使用了哪些腳本語言�����,并研究該語言的缺陷��。
本文內(nèi)容不用于商業(yè)目的��,如涉及知識產(chǎn)權問題�����,請權利人聯(lián)系SPASVO小編(021-60725088-8054)�,我們將立即處理����,馬上刪除。
sales@spasvo.com
