軟件測試之web安全性測試

軟件測試之web安全性測試   安全測試方法

部署在Internet上的WEB應用毫無疑問每時每刻都在遭受著各種考驗，有些是出自惡意的破壞者（Cracker），有些是來自無心的攻擊者（中了病毒或是木馬的菜鳥），還有一些是來自系統內部的出于好奇或是有目的的惡意訪問。下面是計算機安全學會CSI（www.gocsi.com）協同舊金山聯邦調查局開展的2002計算機犯罪和安全調查提供的數字：

　　90%的被調查者在過去12月中探測到有計算機漏洞

　　74%的被調查者稱其Internet連接遭受頻繁攻擊，而40%的被調查者探測到有來自外部的系統滲透；

　　75%的被調查者估計他們在過去所受的攻擊的一部分可能來自心懷不滿的雇員。

　　而根據CERT的統計（www.cert.org），2002年度收到的與安全相關的報告事件的數目是43136個，2001年是51658個，2000年是21756個。毫無疑問，安全問題正在成為計算機領域的關鍵問題，作為具有最多訪問方式和最大的網絡基礎的WEB應用，其面臨的安全考驗更是嚴峻。

　　據知，國內的公司很少會專門為自己的WEB項目進行安全性測試，而且，大部分公司也不知道著手進行安全性測試。

　　一般來說，一個WEB應用包括WEB服務器運行的操作系統、WEB服務器、WEB應用邏輯、數據庫幾個部分，其中任何一個部分出現安全漏洞，都會導致整個系統的安全性問題。

　　對操作系統來說，最關鍵的操作系統的漏洞，例如Unix上的緩沖區溢出漏洞、Windows上的RPC漏洞、緩沖區溢出漏洞、安全機制漏洞等等；

　　對WEB服務器來說，WEB服務器從早期僅提供對靜態HTML和圖片進行訪問發展到現在對動態請求的支持，早已是非常龐大的系統，即使發展多年的Apache也難逃經常被發現安全漏洞的缺陷，更不要說千瘡百孔的IIS了；

　　對應用邏輯來說，根據其實現的語言不同、機制不同、由于編碼、框架本身的漏洞或是業務設計時的不完善，都可能導致安全上的問題；

　　對數據庫來說，數據庫注入攻擊一直是數據庫廠商和網站開發者的噩夢。

　　除此之外，安全問題還存在于管理等各個方面，不完善的管理制度、缺乏安全意識的員工都會是內部的突破口，同樣，一些開發工具生成的備份文件和注釋也會成為Cracker發送攻擊的參考資料。

　　對WEB的安全性測試是一個很大的題目，首先取決于要達到怎樣的安全程度。不要期望網站可以達到100%的安全，須知，即使是美國國防部，也不能保證自己的網站100%安全。對于一般的用于實現業務的網站，達到這樣的期望是比較合理的：

　　1、能夠對密碼試探工具進行防范；

　　2、能夠防范對cookie攻擊等常用攻擊手段；

　　3、敏感數據保證不用明文傳輸；

　　4、能防范通過文件名猜測和查看HTML文件內容獲取重要信息；

　　5、能保證在網站收到工具后在給定時間內恢復，重要數據丟失不超過1個小時；

　　最后補充一點，瀏覽器的漏洞也可能會導致網站的不安全。

原文轉自：http://www.anti-gravitydesign.com