如何進(jìn)行WEB安全性測試����?
一般來說���,一個WEB應(yīng)用包括WEB服務(wù)器運(yùn)行的操作系統(tǒng)、WEB服務(wù)器��、WEB應(yīng)用邏輯�����、數(shù)據(jù)庫幾個部分�,其中任何一個部分出現(xiàn)安全漏洞,都會導(dǎo)致整個系統(tǒng)的安全性問題���。\x0d\x0a對操作系統(tǒng)來說�����,最關(guān)鍵的操作系統(tǒng)的漏洞���,Windows上的RPC漏洞����、緩沖區(qū)溢出漏洞��、安全機(jī)制漏洞等等����;\x0d\x0a對WEB服務(wù)器來說,WEB服務(wù)器從早期僅提供對靜態(tài)HTML和圖片進(jìn)行訪問發(fā)展到現(xiàn)在對動態(tài)請求的支持�����,早已是非常龐大的系統(tǒng)����。\x0d\x0a對應(yīng)用邏輯來說,根據(jù)其實現(xiàn)的語言不同���、機(jī)制不同�����、由于編碼���、框架本身的漏洞或是業(yè)務(wù)設(shè)計時的不完善�����,都可能導(dǎo)致安全上的問題�。\x0d\x0a對WEB的安全性測試是一個很大的題目����,首先取決于要達(dá)到怎樣的安全程度��。不要期望網(wǎng)站可以達(dá)到100%的安全�,須知,即使是美國國防部���,也不能保證自己的網(wǎng)站100%安全��。對于一般的用于實現(xiàn)業(yè)務(wù)的網(wǎng)站�,達(dá)到這樣的期望是比較合理的:\x0d\x0a1�、能夠?qū)γ艽a試探工具進(jìn)行防范;\x0d\x0a2��、能夠防范對cookie攻擊等常用攻擊手段�;\x0d\x0a3、敏感數(shù)據(jù)保證不用明文傳輸;\x0d\x0a4�����、能防范通過文件名猜測和查看HTML文件內(nèi)容獲取重要信息��;\x0d\x0a5���、能保證在網(wǎng)站收到工具后在給定時間內(nèi)恢復(fù)���,重要數(shù)據(jù)丟失不超過1個小時;
讓客戶滿意是我們工作的目標(biāo)����,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效�����、簡單的方式提供給客戶�,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴����,公司提供的服務(wù)項目有:域名申請、虛擬空間、營銷軟件���、網(wǎng)站建設(shè)����、桐梓網(wǎng)站維護(hù)���、網(wǎng)站推廣����。
web安全測試主要測試哪些內(nèi)容����?
1���、來自服務(wù)器本身及網(wǎng)絡(luò)環(huán)境的安全����,這包括服務(wù)器系統(tǒng)漏洞���,系統(tǒng)權(quán)限�,網(wǎng)絡(luò)環(huán)境(如ARP等)專、網(wǎng)屬絡(luò)端口管理等���,這個是基礎(chǔ)����。
2���、來自WEB服務(wù)器應(yīng)用的安全���,IIS或者Apache等,本身的配置�、權(quán)限等,這個直接影響訪問網(wǎng)站的效率和結(jié)果�����。
3���、網(wǎng)站程序的安全�,這可能程序漏洞�,程序的權(quán)限審核,以及執(zhí)行的效率�,這個是WEB安全中占比例非常高的一部分���。
4、WEB Server周邊應(yīng)用的安全��,一臺WEB服務(wù)器通常不是獨(dú)立存在的���,可能其它的應(yīng)用服務(wù)器會影響到WEB服務(wù)器的安全�,如數(shù)據(jù)庫服務(wù)����、FTP服務(wù)等。
如何進(jìn)行WEB安全性測試
安全性測試
產(chǎn)品滿足需求提及的安全能力
n 應(yīng)用程序級別的安全性����,包括對數(shù)據(jù)或業(yè)務(wù)功能的訪問,應(yīng)
用程序級別的安全性可確保:在預(yù)期的安全性情況下�����,主角
只能訪問特定的功能或用例�����,或者只能訪問有限的數(shù)據(jù)�。例
如,可能會允許所有人輸入數(shù)據(jù)��,創(chuàng)建新賬戶���,但只有管理
員才能刪除這些數(shù)據(jù)或賬戶�。如果具有數(shù)據(jù)級別的安全性����,
測試就可確保“用戶類型一” 能夠看到所有客戶消息(包括
財務(wù)數(shù)據(jù))����,而“用戶二”只能看見同一客戶的統(tǒng)計數(shù)據(jù)。
n 系統(tǒng)級別的安全性���,包括對系統(tǒng)的登錄或遠(yuǎn)程訪問����。
系統(tǒng)級別的安全性可確保只有具備系統(tǒng)訪問權(quán)限的用戶才能
訪問應(yīng)用程序��,而且只能通過相應(yīng)的網(wǎng)關(guān)來訪問�。
安全性測試應(yīng)用
防SQL漏洞掃描
– Appscan
n防XSS、防釣魚
– RatProxy���、Taint����、Netsparker
nget、post - 防止關(guān)鍵信息顯式提交
– get:顯式提交
– post:隱式提交
ncookie���、session
– Cookie欺騙
當(dāng)前文章:什么是服務(wù)器的安全性測試 服務(wù)器安全測試的設(shè)備包括
URL分享:
http://weahome.cn/article/dopssgh.html
重慶分公司
重慶分公司
