Web应用程序安全性测试指南

由于存储在Web应用程序中的数据量巨大，并且Web上的事务数量增加，因此，对Web应用程序进行适当的安全测试正变得越来越重要。

在本文中，我们将详细了解网站安全测试中使用的关键术语及其测试方法。

什么是安全测试？

安全测试是检查机密数据是否保持机密（即，它不会暴露于并非针对其的个人/实体）以及用户只能执行其被授权执行的那些任务的过程。

例如，用户不应向其他用户拒绝该网站的功能，或者用户不应以非预期的方式等更改该Web应用程序的功能。

安全测试中使用的一些关键术语

在继续进行之前，熟悉一些Web应用程序安全性测试中经常使用的术语将很有用：

什么是“漏洞”？

这是Web应用程序中的弱点。这种“弱点”的原因可能是由于应用程序中的错误，注入（SQL /脚本代码）或病毒的存在。

什么是“ URL操作”？

某些Web应用程序通过URL在客户端（浏览器）和服务器之间传递其他信息。更改URL中的某些信息有时可能会导致服务器意外行为，这称为URL操纵。

什么是“ SQL注入”？

这是通过Web应用程序用户界面将SQL语句插入某些查询的过程，然后由服务器执行该查询。

什么是“ XSS（跨站点脚本）”？

当用户在Web应用程序的用户界面中插入HTML /客户端脚本时，此插入对其他用户可见，被称为XSS。

什么是“欺骗”？

仿冒网站或电子邮件的创建被称为欺骗。

推荐的安全测试工具：Acunetix

安全测试方法

为了对Web应用程序执行有用的安全测试，安全测试人员应该对HTTP协议有充分的了解。

了解客户端（浏览器）和服务器如何使用HTTP通信非常重要。

此外，测试人员至少应了解SQL注入和XSS的基础知识。

希望，Web应用程序中存在的安全缺陷数量不会很高。但是，能够准确描述所有安全缺陷以及所有必需的详细信息肯定会有所帮助。

Web安全测试方法＃1）密码破解

Web应用程序的安全测试可以通过“密码破解”开始。为了登录到应用程序的私有区域，可以猜测用户名/密码，也可以使用一些密码破解工具。常见的用户名和密码列表以及开源密码破解程序均可用。

如果Web应用程序不强制使用复杂的密码（例如，使用字母，数字和特殊字符，或者至少需要一定数量的字符）网站程序安全，则破解用户名和密码的时间可能不会很长。

如果用户名或密码未加密就存储在Cookie中，则攻击者可以使用其他方法来窃取Cookie以及存储在Cookie中的信息（例如用户名和密码）。

有关更多详细信息，请参见“网站Cookie测试”中的文章。

（编辑：成都站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!