Web安全性测试..docx

安全性测试安全性测试主要是测试系统在没有授权的内部或者外部用户对系统进行攻击或者恶意破坏时如何进行处理，是否仍能保证数据和页面的安全。测试人员可以学习一些黑客技术，来对系统进行攻击。另外，对操作权限的测试也包含在安全性测试中。具体测试内容如下：执行添加、删除、修改等动作中是否做过登录检测。 退出系统之后的操作是否可以完成。 所有插入表单操作中输入特殊字符是否可以正常输正常存储，特殊字符为：！?#￥%……—*（）~——-+=[]{}、|；：‘”？/《》，。 在带有参数的回显数据的动作中更改参数，把参数改为特殊字符并加入操作语句看是否出错。 测试表单中有没有做标签检测，标签检测是否完整。 在插入表单中加入特殊的HTML代码，例如：marquee表单中的字本是否移动？/marquee。系统安全性测试的十个重要问题1:没有被验证的输入测试方法：数据类型（字符串，整型，实数，等）允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值（枚举型）特定的模式（正则表达式）2:有问题的访问控制测试方法：主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址；例：从一个页面链到另一个页面的间隙可以看到URL地址，直接输入该地址，可以看到自己没有权限的页面信息； 3:错误的认证和会话管理分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。 浏览器缓存：认证和会话数据作为GET的一部分来发送认证和会话数据不应该作为GET的一部分来发送，应该使用POST，例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html语法解析出来；4:跨站脚本（XSS）分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料；测试方法：?HTML标签：……/… ?转义字符：amp()；lt()；gt()；nbsp(空格) ；?脚本语言：scrīpt language=‘javascrīpt’…Alert(‘’)/scrīpt?特殊字符：‘? ’ /?最小和最大的长度?是否允许空输入?例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html语法解析出来5:缓冲区溢出没有加密关键数据分析：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码。例：view－source：http地址可以查看源代码在页面输入密码，页面显示的是 *****,? 右键，查看源文件就可以看见刚才输入的密码；　6:注入式漏洞分析：用户登录处、不用登录可以查看到的数据库中的数据列表尤为重要。例：一个验证用户登陆的页面，如果使用的sql语句为：Select *? from? table A where? username＝’’ + username+’’ and pass word ….Sql 输入‘ or 1＝1 ――就可以不输入任何password进行攻击；7:不恰当的异常处理分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞；8:不安全的存储没有加密关键数据分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。浏览器缓存：认证和会话数据不应该作为GET的一部分来发送，应该使用POST； 例：view－source：http地址可以查看源代码?在页面输入密码，页面不显示 “*****”； 在页面输入密码，页面显示的是 *****,数据库中存的密码没有经过加密；地址栏中可以看到刚才填写的密码；右键查看源文件就可以看见刚才输入的密码；? 9:拒绝服务分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护。攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序，最终使程序陷入瘫痪。需要做负载均衡来对付。10:不安全的配置管理分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护程序员应该作的：配置所有的安全机制，关掉所有不使用的服务，设置角色权限帐号，使用日志和警报。 例：数据库的帐号是不是默认为“sa”，密码（还有端口号）是不是直接写在配置文件里而没有进行加密。软件安全测试涉及的方面2.用户名和密码是否设置密码最小长度用户名和密码中是否可以有空格或回车？是否允许密码和用户名一致防恶意注册：可否用自动填表工具自动注册用户？ 遗忘密码处理有无缺省的超级用户?有无超级密码?是否有校验码？密码错误次数有无限制？3.直接输