Web安全测试包括哪些内容
Web安全测试包括以下4方面:1、来自服务器本身及网络环境的安全;2、来自WEB服务器应用的安全;3、网站程序的安全;4、WEB Server周边应用的安全。安全测试具体从4方面开展:1、目录设置;2、登录;3、日志文件;4、脚本语言。
一、Web安全测试测什么?
1、来自服务器本身及网络环境的安全
这包括服务器系统漏洞,系统权限,网络环境(如ARP等)专、网属络端口管理等,这个是基础。
2、来自WEB服务器应用的安全
IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全
这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全
一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
二、怎么做Web安全测试?
1、目录设置
Web安全的名列前茅步就是正确设置目录,每个目录下应该有index.html 或main.html页面,这样就不会显示该目录下的所有内容。
如果开发部门使用了ssl,测试人员需要确定是否有相应的替代页面(适用于3.0以下版本的浏览器,这些浏览器不支持ssl)。 当用户进入或离开安全站点的时候,请确认有相应的提示信息。是否有连接时间限制,超过限制时间后出现什么情况,这些问题点都需要测试。
2、登录
有些站点需要用户进行登录,以验证他们的身份。这样对用户是方便的,他们不需要每次都输入个人资料。 你需要验证系统阻止非法的用户名/口令登录,而能够通过有效登录。登录主要测试是否有次数限制,是否限制从某些IP地址登录,口令是否有规则限制等。
3、日志文件
在后台要注意验证服务器日志工作正常,日志是否记录所有的事务处理,是否记录失败的页面请求,是否在每次事务完成的时候都进行保存等。
4、脚本语言
脚本语言是常见的安全隐患,每种语言的细节都有所不同,有些脚本允许访问根目录,其他只允许访问邮件服务器。测试时要找出站点使用了哪些脚本语言,并研究该语言的缺陷。
拓展阅读
Web攻击的主要类型
- 跨站脚本(XSS)攻击:
XSS攻击一般对服务器没有影响,对用户会产生影响,例如:网页上存放某个脚本,其它用户操作网站的内容就不小心点击到了对服务器没有影响,通过跨站攻击就可以获取SessionID对网站进行非法操作就是Cookie欺骗。
还有一种情况就是用户模拟了一个钓鱼网站,让我们错误认识是自己的网站,输入一些与钱相关的敏感信息,获取用户的相关数据,容易入侵,从而导致一系列安全隐患问题。
- SQL注入:
可能通过任何可以输入的地方都能达到SQL注入的目的。例如:登录框、文件输入框等相关功能都是一种普遍的攻击方式。
- XML注入:
在XML实体中,关键字‘’system‘’可以让XML解析器从URL中读取内容,并允许他在XML文档中被替换,因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现, 就是攻击者强制XML解析器去访问攻击者指定的资源内容
- 目录遍历:
攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
- 上传漏洞攻击:
攻击者利用系统缺陷绕过对文件的验证和处理,将恶意文件(如配置文件、木马和病毒、包含脚本的图片等)上传到服务器并通过文件获得服务器上相应的权力,或通过诱导外部用户访问、下载上传的病毒或木马文件,达到攻击的目的。
- 访问控制错误:
应用程序允许攻击者执行某种攻击者没有执行权限的操作,就会出现访问控制漏洞。
- 下载漏洞攻击
- 信息泄露
