1、精選文檔平安性測試涉及的內容一個完整的WEB平安性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密。參數操作、特別管理、審核和日志記錄等幾個方面入手。1.平安體系測試1)部署與基礎結構網絡是否供應了平安的通信部署拓撲結構是否包括內部的防火墻部署拓撲結構中是否包括遠程應用程序服務器基礎結構平安性需求的限制是什么目標環境支持怎樣的信任級別2)輸入驗證如何驗證輸入A.是否清楚入口點B.是否清楚信任邊界C.是否驗證Web頁輸入D.是否對傳遞到組件或Web服務的參數進行驗證E.是否驗證從數據庫中檢索的數據F.是否將方法集中起來G.是否依靠客戶端的驗證H.應用程序是否

2、易受SQL注入攻擊I.應用程序是否易受XSS攻擊如何處理輸入3)身份驗證是否區分公共訪問和受限訪問是否明確服務帳戶要求如何驗證調用者身份如何驗證數據庫的身份是否強制試用帳戶管理措施4)授權如何向最終用戶授權如何在數據庫中授權應用程序如何將訪問限定于系統級資源5)配置管理是否支持遠程管理是否保證配置存儲的平安是否隔離管理員特權6)敏感數據是否存儲機密信息如何存儲敏感數據是否在網絡中傳遞敏感數據是否記錄敏感數據7)會話管理如何交換會話標識符是否限制會話生存期如何確保會話存儲狀態的平安8)加密為何使用特定的算法如何確保加密密鑰的平安性9)參數操作是否驗證全部的輸入參數是否在參數過程中傳遞敏感數據是否

3、為了平安問題而使用HTTP頭數據10)特別管理是否使用結構化的特別處理是否向客戶端公開了太多的信息11)審核和日志記錄是否明確了要審核的活動是否考慮如何流淌原始調用這身份2.應用及傳輸平安WEB應用系統的平安性從使用角度可以分為應用級的平安與傳輸級的平安，平安性測試也可以從這兩方面入手。應用級的平安測試的主要目的是查找Web系統自身程序設計中存在的平安隱患，主要測試區域如下。注冊與登陸：現在的Web應用系統基本接受先注冊，后登錄的方式。A.必需測試有效和無效的用戶名和密碼B.要留意是否存在大小寫敏感，C.可以嘗試多少次的限制D.是否可以不登錄而直接掃瞄某個頁面等。在線超時：Web應用系統是否有

4、超時的限制，也就是說，用戶登陸肯定時間內（例如15分鐘）沒有點擊任何頁面，是否需要重新登陸才能正常使用。操作留痕：為了保證Web應用系統的平安性，日志文件是至關重要的。需要測試相關信息是否寫進入了日志文件，是否可追蹤。備份與恢復：為了防范系統的意外崩潰造成的數據丟失，備份與恢復手段是一個Web系統的必備功能。備份與恢復依據Web系統對平安性的要求可以接受多種手 段，如數據庫增量備份、數據庫完全備份、系統完全備份等。出于更高的平安性要求，某些實時系統經常會接受雙機熱備或多級熱備。除了對于這些備份與恢復方式 進行驗證測試以外，還要評估這種備份與恢復方式是否滿足Web系統的平安性需求。傳輸級的平安測

5、試是考慮到Web系統的傳輸的特殊性，重點測試數據經客戶端傳送到服務器端可能存在的平安漏洞，以及服務器防范非法訪問的力量。一般測試項目包括以下幾個方面。HTTPS和SSL測試：默認的狀況下，平安HTTP（Soure HTTP）通過平安套接字SSL（Source Socket Layer）協議在 端口443上使用一般的HTTP。HTTPS使用的公共密鑰的加密長度打算的HTTPS的平安級別，但從某種意義上來說，平安性的保證是以損失性能為代價 的。除了還要測試加密是否正確，檢查信息的完整性和確認HTTPS的平安級別外，還要留意在此平安級別下，其性能是否達到要求。服務器端的腳本漏洞檢查：存在于服務器端的腳本經常構成平安漏洞，這些漏洞又往往被黑客利用。所以，還要測試沒有經過授權，就不能在服務器端放置和編輯腳本的問題。防火墻測試：防火墻是一種主要用于防護非法訪問的路由器，在Web系統中是很常用的一種平安系統。防火墻測試是一個很大很專業的課題。這里所涉及的只是對防火墻功能、設置進行測試，以推斷本Web系統的平安需求。另推舉平安性測試工具：Watchfire AppScan：商業網頁漏洞掃描器(此工具好像被IBM收購了，所以推舉在第一位)AppScan依據應用程序開發生命