.....
安全性测试波及的容
一个完好的WEB安全性测试能够从部署与基础构造、输入考证、
身份考证、受权、配置管理、敏感数据、会话管理、加密。参数操
作、异样管理、审制会话生计期
如何保证会话储存状态的安全
加密
为什么使用特定的算法
如何保证加密密钥的安全性
参数操作
.....c
.....
能否考证全部的输入参数
能否在参数过程中传达敏感数据
能否为了安全问题而使用HTTP头数据
异样管理
能否使用构造化的异样办理
能否向客户端公然了太多的信息
审查和日记记录
能否明确了要审查的活动
能否考虑如何流动原始调用这身份
应用及传输安全
WEB应用系统的安全性从使用角度能够分为应用级的安全与传输
级的安全,安全性测试也能够从这双方面下手。
应用级的安全测试的主要目的是查找Web系统自己程序设计中存
在的安全隐患,主要测试地区以下。
注册与登岸:此刻的Web应用系统基本采纳先注册,后登录的方
式。
.....c
.....
,
。
在线超时:Web应用系统能否有超时的限制,也就是说,用户登
陆一准时间(比方15分钟)没有点击任何页面,能否需要从头登
陆才能正常使用。
操作留痕:为了保证Web应用系统的安全性,日记文件是至关重
要的。需要测试有关信息能否写进入了日记文件,能否可追踪。
备份与恢复:为了防系统的不测崩溃造成的数据抛弃,备份与恢复
手段是一个Web系统的必备功能。备份与恢复依据Web系统对安
全性的要求能够采纳多种手段,如数据库增量备份、数据库完好
备份、系统完好备份等。出于更高的安全性要求,某些及时系统经
常会采纳双机热备或多级热备。除了关于这些备份与恢复方式进
行考证测试之外,还要评估这类备份与恢复方式能否满足Web系
统的安全性需求。
传输级的安全测试是考虑到Web系统的传输的特别性,要点测试
数据经客户端传递到服务器端可能存在的安全漏洞,以及服务器防
非法接见的能力。一般测试项目包含以下几个方面。
.....c
.....
HTTPS和SSL测试:默认的状况下,安全HTTP(SoureHTTP)
经过安
安全性测试涉及的内容 来自淘豆网m.daumloan.com转载请标明出处.
