安全性测试涉及的内容一个完整的 WEB 安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密
参数操作、异常管理、审核和日志记录等几个方面入手
安全体系测试1)部署与基础结构网络是否提供了安全的通信部署拓扑结构是否包括内部的防火墙部署拓扑结构中是否包括远程应用程序服务器基础结构安全性需求的限制是什么目标环境支持怎样的信任级别2)输入验证如何验证输入A
是否清楚入口点B
是否清楚信任边界C
是否验证 Web 页输入D
是否对传递到组件或 Web 服务的参数进行验证E
是否验证从数据库中检索的数据F
是否将方法集中起来G
是否依赖客户端的验证H
应用程序是否易受 SQL 注入攻击I
应用程序是否易受 XSS 攻击如何处理输入3)身份验证是否区分公共访问和受限访问是否明确服务帐户要求如何验证调用者身份如何验证数据库的身份是否强制试用帐户管理措施4)授权如何向最终用户授权如何在数据库中授权应用程序如何将访问限定于系统级资源5)配置管理是否支持远程管理是否保证配置存储的安全是否隔离管理员特权6)敏感数据是否存储机密信息如何存储敏感数据是否在网络中传递敏感数据是否记录敏感数据7)会话管理如何交换会话标识符是否限制会话生存期如何确保会话存储状态的安全8)加密为何使用特定的算法如何确保加密密钥的安全性9)参数操作是否验证所有的输入参数是否在参数过程中传递敏感数据是否为了安全问题而使用 HTTP 头数据10)异常管理是否使用结构化的异常处理是否向客户端公开了太多的信息11)审核和日志记录是否明确了要审核的活动是否考虑如何流动原始调用这身份2
应用及传输安全WEB 应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全,安全性测试也可以从这两方面入手
应用级的安全测试的主要目的是查找 Web 系统自身程序设计中存在的安全隐患,主要测试区域如下
