Web安全測試也應該遵循盡早測試的原則，在進行功能測試的時候（就應該執(zhí)行下面的測試Checklist安全測試場景），然后在功能測試完成之后、性能測試之前進行掃描測試，可以用工具AppScan,Hp Webinspect,AWS等漏洞掃描工具進行掃描。

創(chuàng)新互聯(lián)網(wǎng)站建設服務商，為中小企業(yè)提供網(wǎng)站制作、做網(wǎng)站服務，網(wǎng)站設計，網(wǎng)站托管、服務器托管等一站式綜合服務型公司，專業(yè)打造企業(yè)形象網(wǎng)站，讓您在眾多競爭對手中脫穎而出創(chuàng)新互聯(lián)。

第一步：比較常用的安全測試Checklist如下：

1：不登錄系統(tǒng)，直接輸入登錄后的頁面URL是否可以訪問。

2：不登錄系統(tǒng)，直接輸入下載文件的URL是否可以下載文件。

3：退出登錄后，點擊瀏覽器的的后退按鈕能否訪問之前的頁面。

4：手動更改URL中的參數(shù)值能否訪問沒有權(quán)限訪問的頁面。如普通用戶對應的URL中的參數(shù)為l＝e，高級用戶對應的URL中的參數(shù)為l＝s，以普通用戶的身份登錄系統(tǒng)后將URL中的參數(shù)e改為s來訪問沒有權(quán)限訪問的頁面。

5.所有憑證都應該通過一個加密傳輸通道（比如在登錄的過程中）。

6：安全頁面應該使用https協(xié)議。

7：驗證sql注入（包括數(shù)字型注入和字符型注入等）。

8：驗證XSS跨站腳本漏洞，執(zhí)行新增操作時候，要在所有輸入框中輸入
9.對文件上傳功能應使用文件類型限制，或exe等可執(zhí)行文件后，確認在服務器端是否可直接運行。

10：驗證上傳漏洞，只要Web應用程序允許上傳文件，那就有可能存在文件上傳漏洞。因為有些程序沒有對上傳的文件進行格式驗證，或者純粹只在客戶端做JS驗證，***者可以通過firebug刪除客戶端的javascript驗證，或者通過Burp Suit按正常的流程通過JavaScript驗證，然后在傳輸?shù)膆ttp層做手腳。

11.錯誤信息中是否含有SQL語句，SQL錯誤信息以及web服務器的其他敏感信息。

12：驗證Session的有效期。

第二步：功能測試完成之后，性能測試啟動之前，在用專業(yè)的掃描工具進行掃描,生成測試報告，比如WVS與AppScan都是位居前十名的掃描工具。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前名稱：Web安全測試二步走-創(chuàng)新互聯(lián)
轉(zhuǎn)載注明：http://weahome.cn/article/djsdii.html