在21世紀(jì)做生意,自動化就是問題的實質(zhì)!當(dāng)然,
Web應(yīng)用給企業(yè)帶來了獲得在全球范圍數(shù)以百萬計潛在客戶的靈活性,但安全問題的威脅卻日益嚴(yán)重。
據(jù)Acutenix,Web應(yīng)用安全行業(yè)的領(lǐng)導(dǎo)者,最近的獨立分析指出,所有的網(wǎng)絡(luò)攻擊中75%是在Web應(yīng)用程序level進行的。此外,該公司已經(jīng)表明,至少有70%的網(wǎng)站是在可能被黑客直接攻擊的風(fēng)險之下!隨著越來越多重要和敏感的數(shù)據(jù)被存儲在Web應(yīng)用程序中,數(shù)據(jù)相關(guān)的處理也相應(yīng)增加,網(wǎng)絡(luò)應(yīng)用程序的
安全測試已經(jīng)變得至關(guān)重要。
安全性測試是為了確保一個web應(yīng)用程序有足夠的能力,防止未經(jīng)授權(quán)的用戶訪問資源和數(shù)據(jù)而執(zhí)行的。在Web應(yīng)用程序和其他客戶端服務(wù)器應(yīng)用程序,安全性測試起著至關(guān)重要的作用,因為它可以幫助你在正在進行中的網(wǎng)站或Web應(yīng)用程序中找出漏洞或弱點。
然而,在你開始Web應(yīng)用程序安全性測試之前,有幾個很重要的你需要知道的有關(guān)安全測試中使用的術(shù)語。 這里是一些會經(jīng)常會在Web應(yīng)用程序測試中使用到的常用術(shù)語:
“漏洞”——這不過是一些Web應(yīng)用程序中的弱點。其背后的主要原因可能是在應(yīng)用程序中的bug。
“URL處理”——很多web應(yīng)用程序通過URL來實現(xiàn)客戶端和服務(wù)器之間的交互或者共享信息。修改URL中的某些信息可能會導(dǎo)致服務(wù)器不確定行為。
“
SQL注入”——這不過是通過Web應(yīng)用程序用戶界面向服務(wù)器執(zhí)行的查詢中插入SQL語句的過程。
“XSS(跨站腳本)”——每當(dāng)用戶在web應(yīng)用程序的用戶界面插入HTML或其他任何客戶端腳本,并且當(dāng)其被其他人可見時,這被稱為跨站腳本!
“欺騙”——這個意味著創(chuàng)造外觀類似的網(wǎng)站或電子郵件的騙局。
一旦你熟悉了所有的名詞,下一步是開始了解安全測試的不同屬性。在執(zhí)行安全測試的網(wǎng)站或Web應(yīng)用程序中,有七個基本屬性,涵蓋了包括認證,授權(quán),保密性,可用性,完整性,不可否認性和韌性。讓我們詳細了解一下它們:
認證:這不過是一個訪問系統(tǒng)前確認訪問者身份的過程。只有在成功破解驗證過程的情況下才允許用戶訪問網(wǎng)站或Web應(yīng)用程序。
授權(quán):一旦用戶通過認證,授權(quán)就可以用來限制用戶訪問基于其身份的某些功能。
保密性:這基本上是用來驗證是否任何未經(jīng)授權(quán)的用戶和無此權(quán)限的用戶都不能夠訪問該信息。它有助于保護來自用戶的信息和資源授權(quán)。
可用性:它將檢查系統(tǒng)是否在除了維護安全補丁和升級之外可以讓授權(quán)用戶隨時使用。此外,系統(tǒng)的停機時間應(yīng)盡可能短,來使系統(tǒng)有更高的可用性。
完整性:它保證了信息接收的傳輸過程中不被修改,并確認是否給不同組的用戶都提供了正確的信息。
不可否認性:它追蹤誰正在訪問系統(tǒng),那些請求被拒絕,以及其他類似時間戳,IP地址等等的細節(jié)。
韌性:它會檢查系統(tǒng)是否有足夠承受攻擊的能力。這可以通過使用加密來實現(xiàn)。
這些都是Web應(yīng)用程序安全測試的主要屬性。然而,這個列表并不詳盡。好了,那我們可以在安全測試執(zhí)行哪些測試? 這里有一些安全測試的主要類型:
安全審計:它主要包括開發(fā)應(yīng)用程序的直接檢驗。它還包括代碼演練。
安全掃描:它涉及到掃描Web應(yīng)用程序或系統(tǒng)和驗證。在這種測試中,審計人員主要檢查并找出應(yīng)用程序中的缺陷。
漏洞掃描:將測試該應(yīng)用程序的所有可能的漏洞。大多數(shù)時候它是利用掃描軟件或應(yīng)用程序來掃描漏洞。
風(fēng)險評估:這是一種涉及基于損失的類型和損失發(fā)生可能性的分析和決定風(fēng)險的方法。
狀態(tài)評估及安全性測試:它包括了為了達到安全目的的安全檢測,風(fēng)險評估和道德黑客攻擊的組合。
滲透測試:在該方法中,測試人員強行訪問和輸入被測試應(yīng)用。測試人員將嘗試使用一些其他的應(yīng)用程序或一些組合應(yīng)用程序的漏洞,來訪問一個網(wǎng)站或系統(tǒng)。
道德黑客:這都是在一個網(wǎng)站或web應(yīng)用程序的安全性測試中強行入侵外部元素。它也包括了一系列的滲透測試。
請確保您了解并記住所有在這里的介紹,來使您的Web應(yīng)用程序安全測試有效且成功。希望這些信息可以幫助你成功地執(zhí)行安全測試。
作者簡介: Prashant Chambakara是測試自動化專家。他目前正在與TestingWhiz(為測試Web應(yīng)用程序自動化的工具)合作。 Prashant喜歡參加并通過博客,
文章和會議演講活動來對測試社區(qū)做出貢獻。他的Twitter名是@prashant_geek。
English » | | | | | | | | |
Text-to-speech function is limited to 100 characters