在网站测试中如何做好安全性测试?(08-05-16)(获奖名单已公布)
发布时间:2022-10-21 12:51:51 所属栏目:安全 来源:
导读: 通常用于web优化和抗ddos策略制定。web优化方面不单要测试集中大量访问(尤其是数据库)的峰值,还要提出最优访问状态,测出阀值。
抗ddos方面测试的也有几个,主要对象是数据库和web服务器的压力测试,
抗ddos方面测试的也有几个,主要对象是数据库和web服务器的压力测试,
|
通常用于web优化和抗ddos策略制定。web优化方面不单要测试集中大量访问(尤其是数据库)的峰值,还要提出最优访问状态,测出阀值。 抗ddos方面测试的也有几个,主要对象是数据库和web服务器的压力测试,包括cpu等资源等,存储资源通常也是需要测试的。数据库方面的压力测试主要是大量访问对数据库进行操作的页面来测试,访问方法包括查询、修改和插入。web服务器方面主要是根据收集的用户习惯,确定出使用系统资源较多的页面对脚本进行测试。 通常就这么多,测试前应考虑web server和sql server、中间件、网络等支持的连接数量制定压力范围。 负载测试不是搞破坏,比较忌讳用不专业的ddos瘫痪目标就交差的方法。 安全测试方面应该参照spi的web安全top 10来进行,目前做软件测试人员可能对安全性测试了解不够,测试结果不是很好。如果经验不足,测试过程中可以采用一些较专业的web安全测试工具,如WebInspect、Acunetix.Web.Vulerability.Scanner等,不过自动化web安全测试的最大缺陷就是误报太多,需要认为审核测试结果,对报告进行逐项手工检测核对。对于web安全的测试用例,可以参照top 10来写,如果写一个详细的测试用例,还是比较麻烦的,建议采用安全界常用的web渗透报告结合top10来写就可以了。 真没想到,能是3楼,呵呵。赶的早不如赶的巧。现在有专门做系统和网站安全检测的公司,那里做安全检测的人的技术都很好,大多都是红客。呵呵,所以我们要想做好安全测试,一定要好好学习了。 再补充点, 网站即使站点不接受信用卡支付,安全问题也是非常重要的。Web 站点收集的用户资料只能在公司内部使用。如果用户信息被黑客泄露,客户在进行交易时,就不会有安全感。 目录设置 Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面,这样就不会显示该目录下的所有内容。我服务的一个公司没有执行这条规则。我选中一幅图片,单击鼠标右键,找到该图片所在的路径"…com/objects/images"。然后在浏览器地址栏中手工输入该路径,发现该站点所有图片的列表。这可能没什么关系。我进入下一级目录 "…com/objects"网站安全评测,点击 jackpot。在该目录下有很多资料,其中引起我注意的是已过期页面。该公司每个月都要更改产品价格,并且保存过期页面。我翻看了一下这些记录,就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息,他们在谈判桌上肯定处于上风。 SSL 很多站点使用 SSL 进行安全传送。你知道你进入一个 SSL 站点是因为浏览器出现了警告消息,而且在地址栏中的 HTTP 变成 HTTPS。如果开发部门使用了SSL,测试人员需要确定是否有相应的替代页面(适用于3.0 以下版本的浏览器,这些浏览器不支持SSL。当用户进入或离开安全站点的时候,请确认有相应的提示信息。是否有连接时间限制?超过限制时间后出现什么情况? 登录 有些站点需要用户进行登录,以验证他们的身份。这样对用户是方便的,他们不需要每次都输入个人资料。你需要验证系统阻止非法的用户名/口令登录,而能够通过有效登录。用户登录是否有次数限制? 是否限制从某些 IP 地址登录? 如果允许登录失败的次数为3,你在第三次登录的时候输入正确的用户名和口令,能通过验证吗? 口令选择有规则限制吗? 日志文件 在后台,要注意验证服务器日志工作正常。日志是否记所有的事务处理? 是否记录失败的注册企图? 是否记录被盗信用卡的使用? 是否在每次事务完成的时候都进行保存? 记录IP 地址吗? 记录用户名吗? 脚本语言 脚本语言是常见的安全隐患。每种语言的细节有所不同。有些脚本允许访问根目录。其他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言,并研究该语言的缺陷。最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。 (编辑:百客网 - 域百科网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐