WEB安全性測試技術(shù)

　　WEB安全性測試  軟件測試

　　WEB安全性測試

　　一個(gè)完整的WEB安全性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會(huì )話(huà)管理、加密。參數操作、異常管理、審核和日志記錄等幾個(gè)方面入手。

　　1. 安全體系測試

　　1) 部署與基礎結構

　　l 網(wǎng)絡(luò )是否提供了安全的通信

　　l 部署拓撲結構是否包括內部的防火墻

　　l 部署拓撲結構中是否包括遠程應用程序服務(wù)器

　　l 基礎結構安全性需求的限制是什么

　　l 目標環(huán)境支持怎樣的信任級別

　　2) 輸入驗證

　　l 如何驗證輸入

　　A. 是否清楚入口點(diǎn)

　　B. 是否清楚信任邊界

　　C. 是否驗證Web頁(yè)輸入

　　D. 是否對傳遞到組件或Web服務(wù)的參數進(jìn)行驗證

　　E. 是否驗證從數據庫中檢索的數據

　　F. 是否將方法集中起來(lái)

　　G. 是否依賴(lài)客戶(hù)端的驗證

　　H. 應用程序是否易受SQL注入攻擊

　　I. 應用程序是否易受XSS攻擊

　　l 如何處理輸入

　　3) 身份驗證

　　l 是否區分公共訪(fǎng)問(wèn)和受限訪(fǎng)問(wèn)

　　l 是否明確服務(wù)帳戶(hù)要求

文章來(lái)源于領(lǐng)測軟件測試網(wǎng) http://kjueaiud.com/

TAG: 安全性