對網站安全性測試的個人見解

　本人從事網站測試工作已經三年了我個人認為一個完整的Web安全體系測試可以從部署與基礎結構，輸入驗證，身份驗證，授權，配置管理，敏感數據，會話管理，加密，參數操作，異常管理，審核和日志記錄等幾個方面入手

　　數據加密：某些數據需要進行信息加密和過濾后才能進行數據傳輸，例如用戶信用卡信  息、用戶登陸密碼信息等。此時需要進行相應的其他操作，如存儲到數據庫、解密發送要用戶電子郵箱或者客戶瀏覽器。目前的加密算法越來越多，越來越復雜，但一般數據加密的過程時可逆的，也就是說能進行加密，同時需要能進行解密！

　　登錄： 一般的應用站點都會使用登錄或者注冊后使用的方式，因此，必須對用戶名和匹配的密碼進行校驗，以阻止非法用戶登錄。在進行登陸測試的時候，需要考慮輸入的密碼是否對大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登錄，哪些頁面或者文件需要登錄后才能訪問/下載等。

　　超時限制：WEB應用系統需要有是否超時的限制，當用戶長時間不作任何操作的時候， 需要重新登錄才能使用其功能。

　　SSL：越來越多的站點使用SSL安全協議進行傳送。SSL是Security Socket Lauer(安全套接字協議層)的縮寫，是由Netscape首先發表的網絡數據安全傳輸協議。SSL是利用公開密鑰/私有密鑰的加密技術。（RSA），在位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數據，但解密數據必須要通過相應的私人密鑰。進入一個SSL站點后，可以看到瀏覽器出現警告信息，然后地址欄的http變成 https，在做SSL測試的時候，需要確認這些特點，以及是否有時間鏈接限制等一系列相關的安全保護。

　　服務器腳本語言：腳本語言是常見的安全隱患。每種語言的細節有所不同。有些   腳本允許訪問根目錄。其他只允許訪問郵件服務器，但是經驗豐富的黑客可以將服務器用戶名和口令發送給他們自己。找出站點使用了哪些腳本語言，并研究該語言的缺陷。還要需要測試沒有經過授權，就不能在服務器端放置和編輯腳本的問題。最好的辦法是訂閱一個討論站點使用的腳本語言安全性的新聞組。

　　注：黑客利用腳本允許訪問根目錄的這個安全隱患特性攻擊網站。這個網站包含了腳本代碼（有允許訪問根目錄的特性）就可能有這個安全隱患。

　　日志文件：在服務器上，要驗證服務器的日志是否正常工作，例如CPU的占用率是否很高，是否有例外的進程占用，所有的事務處理是否被記錄等。

　　目錄：WEB的目錄安全是不容忽視的一個因素。如果WEB程序或WEB服務器的處理不適當，通過簡單的URL替換和推測，會將整個WEB目錄完全暴露給用戶，這樣會造成很大的風險和安全性隱患。我們可以使用一定的解決方式，如在每個目錄訪問時有index.htm,或者嚴格設定WEB服務器的目錄訪問權限，將這種隱患降低到最小程度。

 

原文轉自：http://www.anti-gravitydesign.com