乙個完整的
web安全體系
可以從部署與基礎結構,輸入驗證,身份驗證,授權,配置管理,敏感資料,會話管理,加密,引數操作,異常管理,審核和
記錄等幾個方面入手
web安全性測試
資料加密:某些資料需要進行資訊加密和過濾後才能進行資料傳輸,例如使用者信用卡資訊、使用者登陸密碼資訊等。此時需要進行相應的
操作,如儲存到
、解密傳送要使用者電子郵箱或者客戶瀏覽器。目前的加密演算法越來越多,越來越複雜,但一般資料加密的過程時可逆的,也就是說能進行加密,同時需要能進行解密!
登入:一般的應用站點都會使用登入或者註冊後使用的方式,因此,必須對使用者名稱和匹配的密碼進行校驗,以阻止非法使用者登入。在進行登陸測試的時候,需要考慮輸入的
密碼是否對大小寫敏感、是否有長度和條件限制,最多可以嘗試多少次登入,哪些頁面或者檔案
需要登入後才能訪問
/超時限制:
web應用系統需要有是否超時的限制,當使用者長時間不作任何操作的時候,需要重新登入才能使用其功能。
ssl:越來越多的站點使用
ssl安全協議進行傳送。
ssl是
security socket lauer(
安全套接字協議層
)的縮寫,是由
netscape
首先發表的網路資料安全傳輸協議。
ssl是利用公開金鑰
/私有金鑰的加密
。(rsa
),在位於
層和tcp
層之間,建立使用者與伺服器之間的加密通訊,確保所傳遞資訊的安全性。
ssl是
在公共金鑰和私人金鑰基礎上的,任何使用者都可以獲得公共金鑰來加密資料,但解密資料必須要通過相應的私人金鑰。進入乙個
ssl站點後,可以看到瀏覽器出現警告資訊,然後位址列的
變成https
,在做ssl
測試的時候,需要確認這些特點,以及是否有時間鏈結限制等一系列相關的安全保護。
伺服器指令碼語言:指令碼語言是最常見的安全隱患,如有些指令碼語言允許訪問根目錄,經驗豐富的黑客可以通過這些缺陷來攻擊和使用伺服器系統,因此,指令碼語言安全性在測試過程中也必須被考慮到。
日誌檔案:在伺服器上,要驗證伺服器的日誌是否正常工作,例如
cpu的佔用率是否很高,是否有例外的程序占用,所以的事務處理是否被記錄等。
目錄:web
的目錄安全是不容忽視的乙個因素。如果
web程式或
web伺服器的處理不適當,通過簡單的
url替換和推測,會將整個
web目錄完全暴露給使用者,這樣會造成很大的風險和安全性隱患。我們可以使用一定的解決方式,如在每個目錄訪問時有
index.htm,
或者嚴格設定
web伺服器的目錄訪問許可權,將這種隱患降低到最小程度。
什麼是安全性測試
安全性測試 security testing 是有關驗證應用程式的安全服務和識別潛在安全性缺陷的過程。注意 安全性測試並不最終證明應用程式是安全的,而是用於驗證所設立策略的有效性,這些對策是基於威脅分析階段所做的假設而選擇的。web安全性測試 乙個完整的web安全性測試可以從部署與基礎結構 輸入驗證...
什麼是執行緒安全性
給 執行緒安全性 下個定義相當棘手。很多正式的定義都顯得過於複雜,並沒有給出實用的指導或者精到的見解 而其他非正式的描述看上去又完全是在兜圈子。在google上搜尋了一下,查到很多定義略舉一二 給出這樣的定義,讓我們對執行緒安全性產生困惑是不足為奇的!它們聽上去令人懷疑 如果乙個類可以安全地被多個執...
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...