求助！web安全方面的测试

zhangfh

有谁知道，web安全方面的测试应从那些方面着手去做？
目前我只知道
1、可以在URL处输入角色id值，判断不同角色的权限？
2、可以修改Internet选项。
3、在系统登陆界面输入不同的帐号，

zhangfh

web测试我得知识很贫乏，希望得到大家的指点。先谢谢了。
下面是我从相关的帖子中复制过来的，只是不知道是怎么操作的或是怎样使用的？
  （1）为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。
请问日志文件在Internet选项中可以配置吗？如果不能，怎样操作日志文件呢？

　　（2）当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。

请问安全套接字的设置是否在Internet选项中的高级页签里，点选安全选项中的“使用SSL2.0和使用SSL3.0”？

　　

110011

日志文件应该是只你所使用的软件系统，是否存在对每个用户登陆后的危险操作进行了日志记录或监控，不明白你在Internet选项中配置是指什么？
至于安全套接字，不是很了解，只是在web测试的时候，我们会很注意URL地址是否会显示不必要的信息，曾经在一个系统的登陆页面中加上一条sql语句，造成1=1恒成立，用任何用户都可以登陆进去。