`
yangzb
  • 浏览: 3507373 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

对网站安全性测试的个人见解

阅读更多

  本人从事网站测试工作已经三年了我个人认为一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手
   数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信  息、用户登陆密码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但 一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!
  登录: 一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访问/下载等。
  超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候, 需要重新登录才能使用其功能。
   SSL:越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。(RSA), 在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以 获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成 https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。
  服务器脚本语言:脚本语言是常见的安 全隐患。每种语言的细节有所不同。有些   脚本允许访问根目录。其他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言,并研究该语言 的缺陷。还要需要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。
  注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。这个网站包含了脚本代码(有允许访问根目录的特性)就可能有这个安全隐患。
  日志文件:在服务器上,要验证服务器的日志是否正常工作,例如

CPU的占用率是否很高,是否有例外的进程占用,所有的事务处理是否被记录等。
  目 录:WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用 户,这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权 限,将这种隐患降低到最小程度。
关键字: 网站安全
分享到:
评论

相关推荐

    测试精品好文

    1. **测试发展规划小议**:这篇文档可能讨论了软件测试行业的趋势和未来发展方向,比如自动化测试的普及、持续集成/持续部署(CI/CD)的重要性、以及性能测试和安全性测试在数字化时代的新挑战。它可能还包含了对个人...

    个人网站的设计与实现.pdf

    同时,持续关注技术发展和用户反馈,对网站进行适时的调整和升级,是保持网站活力和发展方向的重要途径。 总结来说,个人网站的设计与实现是一个涵盖需求分析、设计、开发、测试、优化和推广的完整过程。对于Java...

    测试基本知识集合(很全面)

    这个名为“测试基本知识集合”的压缩包提供了全面的测试相关资料,涵盖了多种测试方法、测试与开发的关系、常见的测试策略以及个人对测试的见解。以下是对这些内容的详细解释: 1. **14种测试方法介绍**: - 单元...

    软件测试俱乐部申请表

    这可能是进一步提升测试技能、获取新的测试资格、参与更多项目,或是对软件测试行业发展的独特见解和贡献。 通过填写这份申请表,申请人不仅向俱乐部展示了自己的专业能力和热情,也表达了对软件测试行业的承诺和对...

    移动端App测试实用指南

    移动应用测试涵盖了多个方面,包括功能测试、性能测试、兼容性测试、安全性测试、用户界面测试、网络测试、本地化和全球化测试等。测试人员在测试过程中需要提出一系列问题,这些问题是测试过程中的关键点,帮助测试...

    问题驱动的软件测试设计:第3章基于质量特性的测试设计

    - **安全保密性测试**:验证软件产品保护数据和信息的能力,防止未授权访问,并确保数据的机密性、完整性和可用性。 ### 测试用例设计的挑战 传统的基于需求规格说明的测试用例设计在实际操作中往往不尽如人意。...

    人物|上海自仪院陆炜:奔跑在工业网络安全领域十余年的幸运儿.pdf

    - 网络与基础架构安全要求保护工业网络免受外部入侵和内部滥用,确保网络的稳定性和数据传输的安全性。 5. 安全运维的重要性 - 安全运维是保障工业网络安全长期有效运行的关键,需要定期进行安全检查、漏洞评估和...

    个人博客网站

    在IT行业中,个人博客网站是一种常见的在线平台,用于分享个人见解、技术文章或者生活故事。这类网站的开发涉及多种技术和工具,以下将详细介绍这个领域的关键知识点。 首先,我们需要理解一个个人博客网站的基本...

    测试工程师职业发展规划

    达到高级阶段,不仅需要精通多种测试技术和工具,还要能够设计复杂的测试策略,进行性能、安全等方面的深入测试。此外,高级测试工程师还应具备一定的项目管理能力,能够领导小团队完成测试任务。 ##### 3. 测试...

    测试人员50个建议

    - **全面覆盖测试类型**:包括但不限于功能测试、性能测试、安全测试、兼容性测试等,确保全方位评估软件质量。 - **自动化测试的合理应用**:选择适合自动化的测试场景,如回归测试、压力测试,提高效率和准确性。 ...

    CSO说安全 _ 张永刚:信息安全规划之我见.pdf

    而“我见”则表示这是张永刚个人对于信息安全规划的见解和建议。 在描述中提到的几个关键词:“网络信息安全”、“业务安全”、“安全众测”、“安全运营”、“开发安全”,都是信息安全规划中重要的组成部分。网络...

    基于asp.net的个人博客系统设计.doc

    测试环节对系统的功能性和非功能性进行了全面检验,包括功能测试、性能测试、安全性和可用性测试,以确保系统的稳定和可靠性。 总结来说,基于ASP.NET的个人博客系统设计涉及了Web开发的多个关键领域,从需求分析到...

    软件测试入门

    具体到软件测试领域,测试专家不仅具备全面的理论知识,还拥有丰富的实践经验,能够在功能设计、需求分析、自动化测试、性能测试及安全性测试等多个方面发挥重要作用。 #### 三、如何成为测试专家 1. **扎实的基础...

    ASP.NET-[整站程序]Maolz个人展示网站源码.zip

    9. **安全性**:保护用户数据的安全,如使用HTTPS加密传输,以及防止SQL注入和跨站脚本攻击。 通过分析Maolz个人展示网站源码,开发者可以学习到如何结合ASP.NET技术和Web设计原则来创建一个吸引人的、功能齐全的...

    基于AFLFast对能量分配策略改进的个人毕业设计.zip

    在这个毕业设计中,学生将深入理解模糊测试的基本原理,掌握AFLFast的工作机制,并通过实践优化其能量分配策略,为C语言程序的安全性测试提供更高效的方法。通过这样的研究,不仅能够提升软件质量,还能为未来模糊...

    问题驱动的软件测试设计:第0章前言

    郑文强擅长的技能包括测试用例设计、测试过程监控和管理、探索性测试、基于风险的测试、测试过程分析和改进、根本原因分析和缺陷预防等。他在软件测试领域的丰富经验,为问题驱动的测试设计提供了实践上的支持和证明...

    基于asp.net开发的简单个人博客系统

    【安全性与身份验证】 博客系统需要考虑用户登录和权限控制。ASP.NET内置的身份验证和授权机制可以帮助开发者实现这些功能,如Forms Authentication和Role-Based Authorization。这些安全特性确保只有经过验证的...

Global site tag (gtag.js) - Google Analytics