網站的安全測試

提到這個安全測試的話,應該有很多人不是很熟悉,因為這個知道的人不是很多，會運用這項技術也不多吧,如果會用這類的應該是那些大型的商業企業會很看重這類的測試.現在我就詳細說明一下這個安全性測試。

　　所謂安全性測試（security testing）是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。

　　注意：安全性測試并不最終證明應用程序是安全的，而是用于驗證所設立策略的有效性，這些對策是基于威脅分析階段所做的假設而選擇的。

　　以下是我讀<<軟件評測試教程>>中的Web安全性測試章節內容，并進行修改的筆記，前面看了好多朋友寫的，不過不是很全，希望對大家有所幫助，建議大家還是買本<<軟件評測試教程>>此書絕對物超所值^_^

　　WEB安全性測試

　　一個完整的WEB安全性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密。參數操作、異常管理、審核和日志記錄等幾個方面入手。

　　1.        安全體系測試

　　1)        部署與基礎結構

　　網絡是否提供了安全的通信

　　部署拓撲結構是否包括內部的防火墻

　　部署拓撲結構中是否包括遠程應用程序服務器

　　基礎結構安全性需求的限制是什么

　　目標環境支持怎樣的信任級別

　　2)        輸入驗證

　　●         如何驗證輸入

　　A.        是否清楚入口點

　　B.        是否清楚信任邊界

　　C.        是否驗證Web頁輸入

　　D.        是否對傳遞到組件或Web服務的參數進行驗證

　　E.        是否驗證從數據庫中檢索的數據

　　F.        是否將方法集中起來

　　G.        是否依賴客戶端的驗證

　　H.       應用程序是否易受SQL注入攻擊

　　I.        應用程序是否易受XSS攻擊

　　●        如何處理輸入

　　

原文轉自：http://www.anti-gravitydesign.com