5 安全测试
即使站点不接受信用卡支付,安全问题也是非常重要的。Web 站点收集的用户资料只能在公司内部使用。如果用户信息被黑客泄露,客户在进行交易时,就不会有安全感。
5.1 目录设置
Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面,这样就不会显示该目录下的所有内容。我服务的一个公司没有执行这条规则。我选中一幅图片,单击鼠标右键,找到该图片所在的路径"…com/objects/images"。然后在浏览器地址栏中手工输入该路径,发现该站点所有图片的列表。这可能没什么关系。我进入下一级目录 "…com/objects" ,点击 jackpot。在该目录下有很多资料,其中引起我注意的是已过期页面。该公司每个月都要更改产品价格,并且保存过期页面。我翻看了一下这些记录,就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息,他们在谈判桌上肯定处于上风。
5.2 SSL
很多站点使用 SSL 进行安全传送。你知道你进入一个 SSL 站点是因为浏览器出现了警告消息,而且在地址栏中的 HTTP 变成 HTTPS。如果开发部门使用了SSL,测试人员需要确定是否有相应的替代页面(适用于3.0 以下版本的浏览器,这些浏览器不支持SSL。当用户进入或离开安全站点的时候,请确认有相应的提示信息。是否有连接时间限制?超过限制时间后出现什么情况?
5.3 登录
有些站点需要用户进行登录,以验证他们的身份。这样对用户是方便的,他们不需要每次都输入个人资料。你需要验证系统阻止非法的用户名/口令登录,而能够通过有效登录。用户登录是否有次数限制? 是否限制从某些 IP 地址登录? 如果允许登录失败的次数为3,你在第三次登录的时候输入正确的用户名和口令,能通过验证吗? 口令选择有规则限制吗? 是否可以不登陆而直接浏览某个页面?
Web应用系统是否有超时的限制,也就是说,用户登陆后在一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
5.4 日志文件
在后台,要注意验证服务器日志工作正常。日志是否记所有的事务处理? 是否记录失败的注册企图? 是否记录被盗信用卡的使用? 是否在每次事务完成的时候都进行保存? 记录IP 地址吗? 记录用户名吗?
5.5 脚本语言
脚本语言是常见的安全隐患。每种语言的细节有所不同。有些脚本允许访问根目录。其他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言,并研究该语言的缺陷。还要需要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。
分享到:
相关推荐
论文接着详细讨论了WEB测试的特性。WEB测试是针对基于Web技术的软件进行的,它包括界面测试、功能测试、性能测试、安全测试等多个方面。WEB测试的重点在于模拟用户实际操作,确保网页的响应速度、兼容性和可用性。...
总结,`ab`工具在Windows下的应用为Web开发者和运维人员提供了一种便捷的压力测试手段,通过它,我们可以更好地理解Web服务器在高负载下的性能,从而优化系统、提升用户体验。不过,单一的工具并不能解决所有问题,...
本篇文章将对几个主流的Java Web开发框架进行深入探讨,包括Struts 2、Hibernate、Spring、Spring MVC以及MyBatis,这些都是在培训过程中重点讲解的内容。 首先,Struts 2是一个基于MVC(Model-View-Controller)...
同时,“QALoad”是另一个性能测试工具,常用于Web应用的性能测试,它的使用也非常重要,两者结合能提供全面的性能测试解决方案。 【压缩包子文件的文件名称列表】:day1 这个"day1"可能代表了学习的第一阶段,...
总结来说,Apache JMeter是Web性能测试的强大工具,它提供了全面的功能,帮助企业以低成本评估系统性能,确保在高并发情况下仍能稳定运行。通过熟练掌握JMeter的使用,开发者和运维人员可以有效地监控和优化Web应用...
本篇文章旨在汇总Web测试的关键方面,以便在公司内部进行有效的交流和实践。 **1. 界面测试** 界面测试是评估应用程序用户体验的重要环节。它涉及到以下关键点: - **站点地图和导航条**:检查其位置、逻辑性和...
- **兼容性**:Web测试关注浏览器兼容性,APP测试涉及多种设备和操作系统。 #### 6. 如何定位APP端和服务端的问题 - **抓包分析**:分析接口请求和响应。 - **日志分析**:检查客户端和服务端日志。 #### 7. 测试...
作者围绕某制造型企业信息化项目、某省电信公司业务系统、某通信企业Web业务系统和某集成商的性能选型测试四个案例,逐一描述了项目的背景、特点、性能测试过程和案例小结,每个案例都按照PTGM模型步骤和活动进行...
总结,.NET框架提供了强大的工具和技术来创建和使用Web服务,无论是ASMX的简单易用,还是WCF的灵活性和全面性,都能满足各种应用场景。理解这些知识点有助于开发者构建高效、可靠的分布式系统。
本篇文章将深入探讨SoapUI的核心功能、如何使用以及它在Web服务测试中的价值。 一、SoapUI概述 SoapUI是由SmartBear Software开发的一款强大的接口测试工具,主要针对SOAP(Simple Object Access Protocol)和REST...
本篇将详细探讨测试作业的相关知识点,包括测试的目标、类型、方法和重要性。 测试作业的核心目标是发现并修复软件中的错误、缺陷和不一致性,以提升产品的稳定性和可靠性。它涉及到多个阶段,从单元测试到系统测试...
1. 测试生命周期通常包括需求分析、测试计划、设计测试用例、实施测试、缺陷管理、测试报告和测试总结等阶段。 2. 在每个阶段,都需要明确测试目标,制定相应的测试策略和计划。 三、测试类型 1. 单元测试:针对...
10. 测试总结:测试结束后,测试团队会编写测试报告,总结测试过程、结果和改进点。 在实际操作中,场景方法可以结合其他测试方法,如等价类划分、边界值分析等,以提供更全面的测试覆盖率。场景方法特别适合处理...
### 新手必看《自动化测试工具介绍LR篇》 #### Mercury LoadRunner:预测系统行为与性能的利器 Mercury LoadRunner是一种高效的负载测试工具,它主要用于预测系统在高负载下的行为与性能表现。通过模拟成千上万的...
本篇文章将详细探讨“jmessage-sdk-web-2.6.0 (1).zip”压缩包中的Web端SDK Demo,为开发者提供全面的参考指南。 一、极光IM概述 极光IM,全称为JMessage,是极光公司推出的一款跨平台的即时通讯服务。它提供了丰富...
总结来说,Web Service是现代分布式系统中的重要组成部分,XFIRE、AXIS和CXF等框架为开发者提供了便利,使得构建和消费Web Service变得更加容易。理解这些工具的特点和使用方法,对于提升开发效率和系统互操作性至关...
在本篇文章中,我们将详细介绍如何配置Selenium与WebDriver的环境,以便开始进行Web自动化测试。 首先,我们需要安装Java Development Kit (JDK)。因为Selenium主要使用Java编写,所以确保你的系统上已经安装了JDK...
### 黑客攻防技术宝典_Web实战篇第2版知识点详解 #### 一、书籍基本信息 本书《黑客攻防技术宝典_Web实战篇第2版》是一本关于Web安全领域的专业书籍,由Dafydd Stuttard与Marcus Pinto共同撰写。该书由John Wiley ...