軟件測試中WEB安全性測試

軟件測試中WEB安全性測試

由于web應用于用戶直接相關，又通常需要承受長時間的大量操作，因此web項目的功能和性能都必須經過可靠的驗證。這就要經過web項目的全面測試。

一個完整的WEB安全體系測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置

管理、敏感數據、會話管理、加密、參數操作、異常管理、審核和日志記錄等幾個方面入手。

1、數據加密：某些數據需要進行信息加密和過濾后才能進行數據傳輸，例如用戶信息卡信

卡、用戶登錄密碼信息等。此時需要進行相應的其他操作，如存儲到數據庫、解密發送到用戶

電子郵箱或者客戶瀏覽器。目前的加密算法越來越多，越來越復雜，但一般數據加密的過程是

可逆的，也就是說能進行加密，同時需要能進行解密！

2、登錄：一般的應用站點都會使用登錄或者注冊后使用的方式，因此，必須對用戶名和匹配

的密碼進行校驗，以阻止非法用戶登錄。在進行登錄測試的時候，需要考慮輸入的密碼是否對

大小寫密碼、是否有長度和條件限制，最多可以嘗試多少次登錄，哪些頁面或者文件需要登錄

后才能訪問/下載等。

3、超時限制：WEB應用系統需要有是否超時的限制，當用戶長時間不做任何操作的時候，需要

重新登錄才能使用其功能。

4、SSL：越來越多的站點使用SSL安全協議進行傳送。SSL是security socket lauer(安全套接字協議層）的

縮寫。是由Netscape首先發表的網絡數據安全傳輸協議。SSL是利用公開密鑰/私有密鑰的加密技術。在位

于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。

5、服務器腳本語言：腳本語言是常見的安全隱患。每種語言的細節有所不同。有些腳本允許訪問根目錄。

其他只允許訪問郵件服務器，但是經驗豐富的黑客可以將服務器用戶名和口令發送給他們自己。找出站點使

用了那些腳本語言，并研究該語言的缺陷。還要需要測試沒有經過授權，就不能在服務器端放置和編輯腳本

的問題。最好的辦法是訂閱一個討論站點使用的腳本語言安全性的新聞組。

6、日志文件：在服務器上，要驗證服務器的日志是否正常工作，例如CPU是占有率是否很高，是否有例外

的進程占用，所有的事務處理是否被記錄等。

7、目錄：WEB的目錄按鈕是不容忽視的一個因素。如果web程序或web服務器的處理不適當，通過簡單的

URL替換和推測，會將整個WEB目錄完全暴露給用戶，這樣會造成很大的風險和安全隱患。我們可以使用

一定的解決方式，如在每個目錄訪問時有index.htm,或者嚴格設定web服務器的目錄訪問權限，將這種隱患

降低到最小程度。（每個目錄訪問時有index.htm目的：通過首頁的登錄驗證功能進行訪問權限控制）

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: web Web WEB 軟件測試