軟件測試之Web安全性測試

 軟件測試之Web安全性測試   web測試工具

 隨著Intenld的普及，網上購物、網上交易、電予銀行等新的信息交易方式走進人們的生活，同時網絡安全越來越不容忽視。在這些應用中，通常要使用Web頁面來傳送一些重要的信息，如信用卡信息、用戶資料倍息等，一旦這些信息被黑客捕獲，后果將不堪設想。

在Web的安全性測試中，通常需要考慮下列的情形。

  ·  數據加密：某些數據需要進行信息加密和過濾后才能進行數據傳輸，例如用戶信用卡信息、用戶登錄密碼信息等。此時需要進行相應的其他操作，’如存儲到數據庫、解密發送到用戶電子郵箱或者客戶瀏覽器。目前的加密算法越來越多，越來越復雜，但一般數據加密的過程是可逆的，也就是說能進行加密，同時需要能進行解密。

  ·  登錄：一般的應用站點都會使用登錄或者注冊后使用的方式，因此，必須對用戶 名和匹配的密碼進行校驗，以阻止非法用戶登錄。在進行登錄測試的時候，需要 考慮輸入的密碼是否對大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登錄，哪些頁面或者文件需要登錄后才能訪問／下載等。

  ·  超時限制：Web應用系統需要有是否超時的限制，當用戶長時間不作任何操作的 時候，需要重新學錄才能使用其功能。

    ·  coo“e和Session：coolde和Session的安全性也是非常必要的，當一個站點或頁 面通過cOOKl ie或者Sess·on存儲等安全性信息時，我們也需要對它進行測試。

  ·  SSI。：越來越多的站點使用SSI。安全協議進行傳送。SSL是sec面舛Soc’ket Layer (安全套接字協議層)的縮寫，是由Netscape首先發表的網絡數據安全傳輸協議。 SSI。是利用公開密鑰／私有密鑰的加密技術(RSA)，在位于HTTP層和TcP層之 間．建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SS[，是工作  在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數據，但解密數據必須要通過相應的私人密鑰。進入一個SSI．，站點后，可以看到瀏覽器出 現警告信息，然后地址欄的h卻變成https，在做SSL測試的時候，需要確認這些特點．以及是否有時間連接限制等一系列相莢的安全保護。

    ·  服務器腳本語言：腳本語言足最常見的安全隱患，如有些腳本語言允許訪問根目錄，經驗豐富的黑客可以通過這些缺陷來攻擊和使用服務器系統，因此，腳本語言安全性在測試過程中也必須被考慮到。

    ·  日志文件：在服務器上，要驗證服務器的日志是否正常工作，例如cPu的占用率 是否很高、是否有例外的進程占用、所有的事務處理是否被記錄等。

    ·  目錄：Web的目錄安全是不容忽視的一個因素。如果Web程序或Web服務器的 處理不適當，通過簡單的uRL替換和推測，會將整個web目錄完全暴露給用戶，  這樣會造成很大的風險和安全性隱患。我們可以使用一定的解決方式，如在每個目錄訪問時有indexhtrIl，或者嚴格設定Web服務器的目錄訪問權限，將這種隱患降低到最少程度。

原文轉自：http://www.kjueaiud.com