51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2223|回复: 1
打印 上一主题 下一主题

Web安全测试二步走

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-6-19 16:43:08 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Web安全测试时一个比较复杂的过程,软件测试人员可以在其中做一些简单的测试,如下:



Web安全测试也应该遵循尽早测试的原则,在进行功能测试的时候(就应该执行下面的测试Checklist
安全测试场景),然后在功能测试完成之后、性能测试之前进行扫描测试,可以用工具AppScan,Hp
Webinspect,AWS等漏洞扫描工具进行扫描。



第一步:比较常用的安全测试Checklist如下:



1:不登录系统,直接输入登录后的页面URL是否可以访问。

2:不登录系统,直接输入下载文件的URL是否可以下载文件。

3:退出登录后,点击浏览器的的后退按钮能否访问之前的页面。

4:手动更改URL中的参数值能否访问没有权限访问的页面。如普通用户对应的URL中的参数为l=e,
高级用户对应的URL中的参数为l=s,以普通用户的身份登录系统后将URL中的参数e改为s来访问没有
权限访问的页面。

5.所有凭证都应该通过一个加密传输通道(比如在登录的过程中)。

6:安全页面应该使用https协议。

7:验证sql注入(包括数字型注入和字符型注入等)。

8:验证XSS跨站脚本漏洞,执行新增操作时候,要在所有输入框中输入
9.对文件上传功能应使用文件类型限制,或exe等可执行文件后,确认在服务器端是否可直接运行。

10:验证上传漏洞,只要Web应用程序允许上传文件,那就有可能存在文件上传漏洞。因为有些程序
没有对上传的文件进行格式验证,或者纯粹只在客户端做JS验证,攻击者可以通过firebug删除客户端
的javascript验证,或者通过Burp Suit按正常的流程通过JavaScript验证,然后在传输的http层做手脚。

11.错误信息中是否含有SQL语句,SQL错误信息以及web服务器的其他敏感信息。

12:验证Session的有效期。

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-8 23:06 , Processed in 0.065965 second(s), 22 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表