安全性測(cè)試涉及的內(nèi)容參考模板

1、安全性測(cè)試涉及的內(nèi)容一個(gè)完整的WEB安全性測(cè)試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密。參數(shù)操作、異常管理、審核和日志記錄等幾個(gè)方面入手。1.安全體系測(cè)試1)部署與基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)是否提供了安全的通信部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么目標(biāo)環(huán)境支持怎樣的信任級(jí)別2)輸入驗(yàn)證如何驗(yàn)證輸入A.是否清楚入口點(diǎn)B.是否清楚信任邊界C.是否驗(yàn)證Web頁輸入D.是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證E.是否驗(yàn)證從數(shù)據(jù)庫中檢索的數(shù)據(jù)F.是否將方法集中起來G.是否依賴客戶端的驗(yàn)證H.應(yīng)用程序是否易受SQ

2、L注入攻擊I.應(yīng)用程序是否易受XSS攻擊如何處理輸入2 / 93)身份驗(yàn)證是否區(qū)分公共訪問和受限訪問是否明確服務(wù)帳戶要求如何驗(yàn)證調(diào)用者身份如何驗(yàn)證數(shù)據(jù)庫的身份是否強(qiáng)制試用帳戶管理措施4)授權(quán)如何向最終用戶授權(quán)如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序如何將訪問限定于系統(tǒng)級(jí)資源5)配置管理是否支持遠(yuǎn)程管理是否保證配置存儲(chǔ)的安全是否隔離管理員特權(quán)6)敏感數(shù)據(jù)是否存儲(chǔ)機(jī)密信息如何存儲(chǔ)敏感數(shù)據(jù)是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)是否記錄敏感數(shù)據(jù)7)會(huì)話管理如何交換會(huì)話標(biāo)識(shí)符是否限制會(huì)話生存期如何確保會(huì)話存儲(chǔ)狀態(tài)的安全8)加密為何使用特定的算法如何確保加密密鑰的安全性9)參數(shù)操作是否驗(yàn)證所有的輸入?yún)?shù)是否在參數(shù)過程中傳遞敏感數(shù)據(jù)是

3、否為了安全問題而使用HTTP頭數(shù)據(jù)10)異常管理是否使用結(jié)構(gòu)化的異常處理是否向客戶端公開了太多的信息11)審核和日志記錄是否明確了要審核的活動(dòng)是否考慮如何流動(dòng)原始調(diào)用這身份2.應(yīng)用及傳輸安全WEB應(yīng)用系統(tǒng)的安全性從使用角度可以分為應(yīng)用級(jí)的安全與傳輸級(jí)的安全，安全性測(cè)試也可以從這兩方面入手。應(yīng)用級(jí)的安全測(cè)試的主要目的是查找Web系統(tǒng)自身程序設(shè)計(jì)中存在的安全隱患，主要測(cè)試區(qū)域如下。注冊(cè)與登陸：現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊(cè)，后登錄的方式。A.必須測(cè)試有效和無效的用戶名和密碼B.要注意是否存在大小寫敏感，C.可以嘗試多少次的限制D.是否可以不登錄而直接瀏覽某個(gè)頁面等。在線超時(shí)：Web應(yīng)用系統(tǒng)是否

4、有超時(shí)的限制，也就是說，用戶登陸一定時(shí)間內(nèi)（例如15分鐘）沒有點(diǎn)擊任何頁面，是否需要重新登陸才能正常使用。操作留痕：為了保證Web應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要的。需要測(cè)試相關(guān)信息是否寫進(jìn)入了日志文件，是否可追蹤。備份與恢復(fù)：為了防范系統(tǒng)的意外崩潰造成的數(shù)據(jù)丟失，備份與恢復(fù)手段是一個(gè)Web系統(tǒng)的必備功能。備份與恢復(fù)根據(jù)Web系統(tǒng)對(duì)安全性的要求可以采用多種手 段，如數(shù)據(jù)庫增量備份、數(shù)據(jù)庫完全備份、系統(tǒng)完全備份等。出于更高的安全性要求，某些實(shí)時(shí)系統(tǒng)經(jīng)常會(huì)采用雙機(jī)熱備或多級(jí)熱備。除了對(duì)于這些備份與恢復(fù)方式 進(jìn)行驗(yàn)證測(cè)試以外，還要評(píng)估這種備份與恢復(fù)方式是否滿足Web系統(tǒng)的安全性需求。傳輸級(jí)的安全

5、測(cè)試是考慮到Web系統(tǒng)的傳輸?shù)奶厥庑?，重點(diǎn)測(cè)試數(shù)據(jù)經(jīng)客戶端傳送到服務(wù)器端可能存在的安全漏洞，以及服務(wù)器防范非法訪問的能力。一般測(cè)試項(xiàng)目包括以下幾個(gè)方面。HTTPS和SSL測(cè)試：默認(rèn)的情況下，安全HTTP（Soure HTTP）通過安全套接字SSL（Source Socket Layer）協(xié)議在 端口443上使用普通的HTTP。HTTPS使用的公共密鑰的加密長(zhǎng)度決定的HTTPS的安全級(jí)別，但從某種意義上來說，安全性的保證是以損失性能為代價(jià) 的。除了還要測(cè)試加密是否正確，檢查信息的完整性和確認(rèn)HTTPS的安全級(jí)別外，還要注意在此安全級(jí)別下，其性能是否達(dá)到要求。服務(wù)器端的腳本漏洞檢查：存在于服務(wù)器端的腳本常常構(gòu)成安全漏洞，這些漏洞又往往被黑客利用。所以，還要測(cè)試沒有經(jīng)過授權(quán)，就不能在服務(wù)器端放置和編輯腳本的問題。防火墻測(cè)試：防火墻是一種主要用于防護(hù)非法訪問的路由器，在Web系統(tǒng)中是很常用的一種安全系統(tǒng)。防火墻測(cè)試是一個(gè)很大很專業(yè)的課題。這里所涉及的只是對(duì)防火墻功能、設(shè)置進(jìn)行測(cè)試，以判斷本W(wǎng)eb系統(tǒng)的安全需求。另推薦安全性測(cè)試工具：Watchfire AppScan：商業(yè)網(wǎng)頁漏洞掃描器(此工具好像被IBM收購(gòu)了，所以推薦在第一位)AppScan按照應(yīng)用程序開發(fā)生