安全測試概念

　　傳輸級的安全測試是考慮到Web系統的傳輸的特殊性，重點測試數據經客戶端傳送到服務器端可能存在的安全漏洞，以及服務器防范非法訪問的能力。一般測試項目包括以下幾個方面。

　　l HTTPS和SSL測試：默認的情況下，安全HTTP(Soure HTTP)通過安全套接字SSL(Source Socket Layer)協議在端口443上使用普通的HTTP。HTTPS使用的公共密鑰的加密長度決定的HTTPS的安全級別，但從某種意義上來說，安全性的保證是以損失性能為代價的。除了還要測試加密是否正確，檢查信息的完整性和確認HTTPS的安全級別外，還要注意在此安全級別下，其性能是否達到要求。

　　l 服務器端的腳本漏洞檢查：存在于服務器端的腳本常常構成安全漏洞，這些漏洞又往往被黑客利用。所以，還要測試沒有經過授權，就不能在服務器端放置和編輯腳本的問題。

　　l 防火墻測試：防火墻是一種主要用于防護非法訪問的路由器，在Web系統中是很常用的一種安全系統。防火墻測試是一個很大很專業的課題。這里所涉及的只是對防火墻功能、設置進行測試，以判斷本Web系統的安全需求。

　　另推薦安全性測試工具：

　　Watchfire AppScan：商業網頁漏洞掃描器(此工具好像被IBM收購了，所以推薦在第一位)

　　AppScan按照應用程序開發生命周期進行安全測試，早在開發階段就進行單元測試和安全保證。Appscan能夠掃描多種常見漏洞，例如跨網站腳本、HTTP應答切開、參數篡改、隱藏值篡改、后門/調試選項和緩沖區溢出等等。

　　Acunetix Web Vulnerability Scanner：商業漏洞掃描器(目前用的比較多，不過這東東N占內存)

　　Acunetix WVS自動檢查您的網頁程序漏洞，例如SQL注入、跨網站腳本和驗證頁面弱密碼破解。Acunetix WVS有著非常友好的用戶界面，還可以生成個性化的網站安全評估報告。

文章來源于領測軟件測試網 http://www.kjueaiud.com/