Web安全是我們
測試組一直以來作為和
性能測試并駕齊驅的兩個重點。開發的過程中還需要著重注意,該轉義的地方轉義;該屏蔽的地方屏蔽,該過濾的地方過濾等等。年底又到了,勢必又有大批的發號抽獎之類的活動開發、上線,在這個過程中,安全問題是我們每個人應該緊繃的神經,對于我們測試人員來說,每個活動需要做到手動
安全測試加自動化安全測試相結合。
常見的web安全問題有:
SQL注入、跨站點腳本攻擊、跨站點偽造請求、目錄遍歷、郵件表頭注入、頁面錯誤信息等。
對于手動安全測試來說,一般常用的有三點:
1、URL有參數的,手動修改參數,看是否得到其他用戶的信息和相關頁面;
2、在登錄輸入框的地方輸入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;
3、在注重SQL注入的同時,一般在有輸入框的地方輸入
對于自動化安全測試來說:
測試組目前使用的安全測試工具為
IBM的AppScan(當然,是破解版,34上已經放過該工具的安裝包)
1、在使用之前務必確認自己綁定的Host;
2、配置URL、開發環境、錯誤顯示類型;
3、結果保存后可根據提示的問題類型和解決建議進行分析。
Web安全測試通常要考慮的測試點:
1、輸入的數據沒有進行有效的控制和驗證
2、用戶名和密碼
3、直接輸入需要權限的網頁地址可以訪問
4、認證和會話數據作為GET的一部分來發送
5、隱藏域與CGI參數
6、上傳文件沒有限制
7、把數據驗證寄希望于客戶端的驗證
8、跨站腳本(XSS)
9、注入式漏洞(SQL注入)
10、不恰當的異常處理
11、不安全的存儲
13、傳輸中的密碼沒有加密
14、弱密碼,默認密碼
15、緩沖區溢出
16、拒絕服務