神马文学网Web安全性测试(转载网络)
来源:百度文库 编辑:神马文学网 时间:2024/04/28 21:15:23
来源于:http://www.360doc.com/content/08/0318/09/59506_1126177.shtml
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手.数据加密: 某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信 息、用户登陆密码信息等。
此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。
目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!登录: 一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名 和匹配的密码进行校验,以阻止非法用户登录。
在进行登陆测试的时候,需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,
哪些页面或者文件需要登录后才能访问/下载等。超时限制:WEB应用系统需要有是否超时的限制,
当用户长时间不作任何操作的时候, 需要重新登录才能使用其功能。 SSL: 越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,
是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。
(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。 SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,
但解密数据必须要通过相应的私人密钥。
进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,
在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。服务器脚本语言:脚本语言是常见的安全隐患。每种语言的细节有所不同。有些 脚本允许访问根目录。其他只允许访问邮件服务器,
但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言,并研究该语言的缺陷。
还要需要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。
最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。 注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。
这个网站包含了脚本代码(有允许访问根目录的特性)就可能有这个安全隐患。日志文件: 在服务器上,要验证服务器的日志是否正常工作,
例如CPU的占用率是否很高,是否有例外的进程占用,所有的事务处理是否被记录等。目录: WEB的目录安全是不容忽视的一个因素。
如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,
这样会造成很大的风险和安全性隐患。
我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,
将这种隐患降低到最小程度。 注:每个目录访问时有index.htm目的: 通过首页中的登陆验证功能进行访问权限控制。
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手.数据加密: 某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信 息、用户登陆密码信息等。
此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。
目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!登录: 一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名 和匹配的密码进行校验,以阻止非法用户登录。
在进行登陆测试的时候,需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,
哪些页面或者文件需要登录后才能访问/下载等。超时限制:WEB应用系统需要有是否超时的限制,
当用户长时间不作任何操作的时候, 需要重新登录才能使用其功能。 SSL: 越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,
是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。
(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。 SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,
但解密数据必须要通过相应的私人密钥。
进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,
在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。服务器脚本语言:脚本语言是常见的安全隐患。每种语言的细节有所不同。有些 脚本允许访问根目录。其他只允许访问邮件服务器,
但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言,并研究该语言的缺陷。
还要需要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。
最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。 注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。
这个网站包含了脚本代码(有允许访问根目录的特性)就可能有这个安全隐患。日志文件: 在服务器上,要验证服务器的日志是否正常工作,
例如CPU的占用率是否很高,是否有例外的进程占用,所有的事务处理是否被记录等。目录: WEB的目录安全是不容忽视的一个因素。
如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,
这样会造成很大的风险和安全性隐患。
我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,
将这种隐患降低到最小程度。 注:每个目录访问时有index.htm目的: 通过首页中的登陆验证功能进行访问权限控制。
Web安全性测试(转载网络)
Web安全性测试
Web 服务安全性(WS-Security)
Web 服务安全性(WS-Security)
网络银行的安全性
web 测试
安全性测试系列之三-安全测试工具(PAROS PROXY)
数学之美系列六 -- 图论和网络爬虫 (Web Crawlers)(转载) - NLP -...
用IIS建立高安全性Web服务器
加强网络共享的安全性
网络银行的安全性1
加强网络共享的安全性
可用性测试(转载)
web测试方法
网络测试
Deep Web(深层网络or深度网络)
正确配置和维护Apache WEB Server 安全性
Web 2.0 到 web 4.0 :未来的语义网络和网络操作系统(WebOS) - 译言...
网络资源库(转载)
(web服务压力测试)有效的压力测试系统将应用以下这些关键条件
51Testing软件测试网:基于嵌入式WEB的网络视频监控系统的设计与实现
世界上最著名的性格测试! (转载)
智商测试题转载(非常全)
世界上最著名的性格测试! (转载)