在21世紀做生意,自動化就是問題的實質!當然,
Web應用給企業帶來了獲得在全球范圍數以百萬計潛在客戶的靈活性,但安全問題的威脅卻日益嚴重。
據Acutenix,Web應用安全行業的領導者,最近的獨立分析指出,所有的網絡攻擊中75%是在Web應用程序level進行的。此外,該公司已經表明,至少有70%的網站是在可能被黑客直接攻擊的風險之下!隨著越來越多重要和敏感的數據被存儲在Web應用程序中,數據相關的處理也相應增加,網絡應用程序的
安全測試已經變得至關重要。
安全性測試是為了確保一個web應用程序有足夠的能力,防止未經授權的用戶訪問資源和數據而執行的。在Web應用程序和其他客戶端服務器應用程序,安全性測試起著至關重要的作用,因為它可以幫助你在正在進行中的網站或Web應用程序中找出漏洞或弱點。
然而,在你開始Web應用程序安全性測試之前,有幾個很重要的你需要知道的有關安全測試中使用的術語。 這里是一些會經常會在Web應用程序測試中使用到的常用術語:
“漏洞”——這不過是一些Web應用程序中的弱點。其背后的主要原因可能是在應用程序中的bug。
“URL處理”——很多web應用程序通過URL來實現客戶端和服務器之間的交互或者共享信息。修改URL中的某些信息可能會導致服務器不確定行為。
“
SQL注入”——這不過是通過Web應用程序用戶界面向服務器執行的查詢中插入SQL語句的過程。
“XSS(跨站腳本)”——每當用戶在web應用程序的用戶界面插入HTML或其他任何客戶端腳本,并且當其被其他人可見時,這被稱為跨站腳本!
“欺騙”——這個意味著創造外觀類似的網站或電子郵件的騙局。
一旦你熟悉了所有的名詞,下一步是開始了解安全測試的不同屬性。在執行安全測試的網站或Web應用程序中,有七個基本屬性,涵蓋了包括認證,授權,保密性,可用性,完整性,不可否認性和韌性。讓我們詳細了解一下它們:
認證:這不過是一個訪問系統前確認訪問者身份的過程。只有在成功破解驗證過程的情況下才允許用戶訪問網站或Web應用程序。
授權:一旦用戶通過認證,授權就可以用來限制用戶訪問基于其身份的某些功能。
保密性:這基本上是用來驗證是否任何未經授權的用戶和無此權限的用戶都不能夠訪問該信息。它有助于保護來自用戶的信息和資源授權。
可用性:它將檢查系統是否在除了維護安全補丁和升級之外可以讓授權用戶隨時使用。此外,系統的停機時間應盡可能短,來使系統有更高的可用性。
完整性:它保證了信息接收的傳輸過程中不被修改,并確認是否給不同組的用戶都提供了正確的信息。
不可否認性:它追蹤誰正在訪問系統,那些請求被拒絕,以及其他類似時間戳,IP地址等等的細節。
韌性:它會檢查系統是否有足夠承受攻擊的能力。這可以通過使用加密來實現。
這些都是Web應用程序安全測試的主要屬性。然而,這個列表并不詳盡。好了,那我們可以在安全測試執行哪些測試? 這里有一些安全測試的主要類型:
安全審計:它主要包括開發應用程序的直接檢驗。它還包括代碼演練。
安全掃描:它涉及到掃描Web應用程序或系統和驗證。在這種測試中,審計人員主要檢查并找出應用程序中的缺陷。
漏洞掃描:將測試該應用程序的所有可能的漏洞。大多數時候它是利用掃描軟件或應用程序來掃描漏洞。
風險評估:這是一種涉及基于損失的類型和損失發生可能性的分析和決定風險的方法。
狀態評估及安全性測試:它包括了為了達到安全目的的安全檢測,風險評估和道德黑客攻擊的組合。
滲透測試:在該方法中,測試人員強行訪問和輸入被測試應用。測試人員將嘗試使用一些其他的應用程序或一些組合應用程序的漏洞,來訪問一個網站或系統。
道德黑客:這都是在一個網站或web應用程序的安全性測試中強行入侵外部元素。它也包括了一系列的滲透測試。
請確保您了解并記住所有在這里的介紹,來使您的Web應用程序安全測試有效且成功。希望這些信息可以幫助你成功地執行安全測試。
作者簡介: Prashant Chambakara是測試自動化專家。他目前正在與TestingWhiz(為測試Web應用程序自動化的工具)合作。 Prashant喜歡參加并通過博客,
文章和會議演講活動來對測試社區做出貢獻。他的Twitter名是@prashant_geek。
English » | | | | | | | | |
Text-to-speech function is limited to 100 characters