安全测试概念 一、什么是安全性测试 安全性测试(security testing)是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。 注意:安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 WEB 安全性测试 一个完整的 WEB 安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。 1. 安全体系测试 1) 部署与基础结构 l 网络是否提供了安全的通信 l 部署拓扑结构是否包括内部的防火墙 l 部署拓扑结构中是否包括远程应用程序服务器 l 基础结构安全性需求的限制是什么 l 目标环境支持怎样的信任级别 2) 输入验证 l 如何验证输入 A. 是否清楚入口点 B. 是 否 清 楚 信 任 边 界 C. 是 否 验 证 Web 页 输 入 D. 是 否 对 传 递 到 组 件 或 Web 服 务 的 参 数 进 行 验 证 E. 是 否 验 证 从 数 据 库 中 检 索 的 数 据 F. 是 否 将 方 法 集 中 起 来 G. 是 否 依 赖 客 户 端 的 验 证 H. 应 用 程 序 是 否 易 受 SQL 注 入 攻 击 I. 应 用 程 序 是 否 易 受 XSS 攻 击 Web 应 用 的 安 全 性 测 试 入 门 介 绍 随 着 越 来 越 多 的 重 要 数 据 都 存 储 在 w eb 应 用 上 , 以 及 网 络 事 务 数 量 的 增 长 , 适 当 的 基 于 网 络 应 用 程 序的 安 全 性 测 试 也 变 得 相 当 重 要 。 安 全 性 测 试 是 指 机 密 的 数 据 确 保 其 机 密 性 ( 例 如 , 不 是 将 其 暴 露 给 不 恰 当的 不 被 授 权 的 个 人 或 用 户 实 体 ) 以 及 用 户 只 能 在 其 被 授 权 的 范 围 进 行 操 作 ( 例 如 , 一 个 用 户 不 应 该 能 够 单方 面 有 权 限 屏 蔽 掉 网 站的 某一 功能 , 一 个 用 户 不 应 该 能 够 在 某种无心的 状态下改变 网 络 应 用 程 序 的 功能 )的 这样一 个 过程 。 一 些在 安 全 性 测 试 中 运用 到 的 重 要 的 术语 在 我们说的 更深入 之前, 了解一 些网 络 应 用 程...
