51Testing软件测试论坛

标题: 请问网站的安全测试如何测 [打印本页]

作者: yezi-0401    时间: 2009-8-27 17:58
标题: 请问网站的安全测试如何测
请问网站的安全测试如何测,有什么工具吗?
我只是看到了一些对测试技术的介绍,而且好多还看不太懂。请教下大家。
作者: yezi-0401    时间: 2009-8-27 23:05
标题: 网站安全有相关的测试工具吗?
为什么没有人回答我呢,我自己顶。
作者: 月上百合    时间: 2009-8-28 09:27
Web应用系统的安全性测试区域主要有:

1、 目录设置
Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页

面,这样就不会显示该目录下的所有内容。如果没有执行这条规则。那么选中一幅图片,单击鼠标右键,找到该图片所在的路径"…com/objects/images"。然后在浏览器地址栏中手工输入该路径,发现该站点所有图片的列表。这可能没什么关系。但是进入下一级目录 "…com/objects" ,点击 jackpot。在该目录下有很多资料,其中有些都是已过期页面。如果该公司每个月都要更改产品价格信息,并且保存过期页面。那么只要翻看了一下这些记录,就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息,他们在谈判桌上肯定处于上风。

2.登录

  现在的Web应用系统基本采用先注册,后登陆的方式。因此,必须测试有效和无效的用户名和密码,要注意到是否大小写敏感,可以试多少次的限制,是否可以不登陆而直接浏览某个页面等。 

3.Session

Web应用系统是否有超时的限制,也就是说,用户登陆后在一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。

4.日志文件

为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。

5.加密

当使用了安全套接字时,还要测试加密是否正确,检查信息的完整性。

6.安全漏洞

服务器端的脚本常常构成安全漏洞,这些漏洞又常常被黑客利用。所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。

目前网络安全问题日益重要,特别对于有交互信息的网站及进行电子商务活动的网站尤其重要。目前我们的测试没有涵盖网站的安全性的测试,我们拟定采用工具来测定,

工具如下
SAINT------- Security Administrator’s Integrated Network Tool
此工具能够测出网站系统的相应的安全问题,并且能够给出安全漏洞的解决方案,不过是一些较为常见的漏洞解决方案。
作者: siriusbb    时间: 2009-8-28 10:14
赞百合mm
学习了
作者: hueslife    时间: 2009-8-28 11:27
学习了
作者: yetties2005    时间: 2009-8-28 12:12
跟着学习了!
作者: wqa870327    时间: 2009-8-28 14:12
SAINT    这个工具找不到下载的地方  有谁有的话传我一个  最好有带使用说明的。。
作者: yezi-0401    时间: 2009-8-30 20:29
标题: 回复 3# 的帖子
谢谢,学习学习
作者: peterz    时间: 2009-8-30 20:45
SQL注入,内存溢出也是重点需要检查的地方。
作者: tyah    时间: 2009-9-1 17:18
好像有吧,叫什麼@#¥%…來著的
作者: xiaoyfanger    时间: 2010-4-12 08:59
标题:
百合




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2