Web安全测试主要是指测试系统在没有授权的情况下,内部或者外部用户对系统进行攻击或者恶意破坏时如何进行处理,是否还能保证数据的安全,测试时主要测试以下几个部分。
1. 目录设置。Web安全的第一步就是正确设置目录,每个目录下应该有index.html 或main.html页面,这样就不会显示该目录下的所有内容。如果开发部门使用了ssl,测试人员需要确定是否有相应的替代页面(适用于3.0以下版本的浏览器,这些浏览器不支持ssl)。 当用户进入或离开安全站点的时候,请确认有相应的提示信息。是否有连接时间限制,超过限制时间后出现什么情况,这些问题点都需要测试。
2. 登录。有些站点需要用户进行登录,以验证他们的身份。这样对用户是方便的,他们不需要每次都输入个人资料。 你需要验证系统阻止非法的用户名/口令登录,而能够通过有效登录。登录主要测试是否有次数限制,是否限制从某些IP地址登录,口令是否有规则限制等。
3. 日志文件。在后台要注意验证服务器日志工作正常,日志是否记录所有的事务处理,是否记录失败的页面请求,是否在每次事务完成的时候都进行保存等。
4. 脚本语言。脚本语言是常见的安全隐患,每种语言的细节都有所不同,有些脚本允许访问根目录,其他只允许访问邮件服务器。测试时要找出站点使用了哪些脚本语言,并研究该语言的缺陷。
sales@spasvo.com
