文档介绍:. .
优选
平安性测试涉及的容
一个完整的WEB平安性测试可以从部署与根底构造、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。
1)部署与根底构造
网络是否提供了平安的通信
部署拓扑构造是否包括部的防火墙
部署拓扑构造中是否包括远程应用程序效劳器
根底构造平安性需求的限制是什么
目标环境支持怎样的信任级别
2)输入验证
如何验证输入
如何处理输入
. .
优选
3)身份验证
是否区分公共访问和受限访问
是否明确效劳要求
如何验证调用者身份
如何验证数据库的身份
是否强制试用管理措施
4)授权
如何向最终用户授权
如何在数据库中授权应用程序
如何将访问限定于系统级资源
5)配置管理
. .
优选
是否支持远程管理
是否保证配置存储的平安
是否隔离管理员特权
6)敏感数据
是否存储信息
如何存储敏感数据
是否在网络中传递敏感数据
是否记录敏感数据
7)会话管理
如何交换会话标识符
是否限制会话生存期
如何确保会话存储状态的平安
8)加密
为何使用特定的算法
如何确保加密密钥的平安性
9)参数操作
. .
优选
是否验证所有的输入参数
是否在参数过程中传递敏感数据
是否为了平安问题而使用 头数据
10)异常管理
是否使用构造化的异常处理
是否向客户端公开了太多的信息
11)审核和日志记录
是否明确了要审核的活动
是否考虑如何流动原始调用这身份
WEB应用系统的平安性从使用角度可以分为应用级的平安与传输级的平安,平安性测试也可以从这两方面入手。
应用级的平安测试的主要目的是查找Web系统自身程序设计中存在的平安隐患,主要测试区域如下。
注册与登陆:现在的Web应用系统根本采用先注册,后登录的方式。
. .
优选
,
。
在线超时:Web应用系统是否有超时的限制,也就是说,用户登陆一定时间〔例如15分钟〕没有点击任何页面,是否需要重新登陆才能正常使用。
操作留痕:为了保证Web应用系统的平安性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。
备份与恢复:为了防系统的意外崩溃造成的数据丧失,备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对平安性的要求可以采用多种手 段,如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的平安性要求,某些实时系统经常会采用双