模板建站動態

一個完整的web安全測試可以從部署和基礎設施、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密等方面進行。參數操作、異常管理、審計和日志記錄。

部署拓撲是否包括遠程應用程序服務器

D、 傳遞給組件或web服務的參數是否經過驗證

web應用系統的安全性從使用的角度可以分為應用級安全和傳輸級安全，安全性測試也可以從這兩個方面著手。

應用級安全測試的主要目的是找出web系統自身程序設計中存在的安全隱患。主要測試區域如下。

注冊與登錄：目前的web應用系統基本上采取先注冊后登錄的方式。

D、 是否可以在不登錄的情況下直接瀏覽頁面。

在線超時：web應用系統是否有超時限制，即用戶在登錄后一定時間內（如15分鐘）沒有點擊任何頁面，是否需要重新登錄才能正常使用。

操作跟蹤：為了保證web應用系統的安全，日志文件非常重要。需要測試相關信息是否寫入日志文件，是否可以跟蹤。

備份和恢復：為了防止由于系統意外崩潰而造成的數據丟失，備份和恢復方法是web系統的一項必要功能。根據數據庫備份和完全備份的要求，系統可以采用數據庫備份和完全備份等多種方式。為了滿足更高的安全要求，一些實時系統通常采用雙熱備或多級熱備。除了對這些備份和恢復方法進行驗證測試外，還應評估這些備份和恢復方法是否滿足web系統的安全要求。

傳輸級安全測試是考慮web系統傳輸的特殊性，重點測試數據從客戶端傳輸到服務器時可能存在的安全漏洞，以及服務器防止非法訪問的能力。一般測試項目包括以下幾個方面。

HTTPS和SSL測試：默認情況下，securehttp（sourehttp）通過securesocketssl（源套接字層）協議在端口443上使用普通http。公鑰的加密長度決定了HTTPS的安全級別，但從某種意義上講，安全是以性能損失為代價的。除了測試加密是否正確，檢查信息的完整性，確認HTTPS的安全級別外，還要注意其性能是否滿足該安全級別下的要求。

服務器端腳本漏洞檢查：存在于服務器端的腳本往往構成安全漏洞，經常被黑客利用。因此，我們還應該測試腳本不能在未經授權的情況下放置和編輯服務器端的問題。

防火墻測試：防火墻是一種主要用于防止非法訪問的路由器。它是web系統中常用的安全系統。防火墻測試是一個專業的大課題。這里所涉及的只是對防火墻的功能和設置進行測試，以判斷該web系統的安全需求。

培戀網原創版權，網站建設提供網站代運營、模板網站制作轉載請注明出處,本文地址：http://www.gdszrq.com/news/video/60139.html