对网站安全性测试的个人见解

欢迎您访问我爱IT技术网，今天小编为你分享的电脑教程是建站经验系列之：【对网站安全性测试的个人见解】，下面是详细的分享！

对网站安全性测试的个人见解

　　本人从事网站测试工作已经三年了我个人认为一个完整的Web安全体系测试可以从部署与基础结构，输入验证，身份验证，授权，配置管理，敏感数据，会话管理，加密，参数操作，异常管理，审核和日志记录等几个方面入手

　　数据加密：某些数据需要进行信息加密和过滤后才能进行数据传输，例如用户信用卡信 息、用户登陆密码信息等。此时需要进行相应的其他操作，如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多，越来越复杂，但一般数据加密的过程时可逆的，也就是说能进行加密，同时需要能进行解密!

　　登录： 一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名和匹配的密码进行校验，以阻止非法用户登录。在进行登陆测试的时候，需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录，哪些页面或者文件需要登录后才能访问/下载等。

　　超时限制：WEB应用系统需要有是否超时的限制，当用户长时间不作任何操作的时候， 需要重新登录才能使用其功能。

　　SSL：越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写，是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。(RSA)，在位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。进入一个SSL站点后，可以看到浏览器出现警告信息，然后地址栏的http变成 https，在做SSL测试的时候，需要确认这些特点，以及是否有时间链接限制等一系列相关的安全保护。

　　服务器脚本语言：脚本语言是常见的安全隐患。每种语言的细节有所不同。有些 脚本允许访问根目录。其他只允许访问邮件服务器，但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言，并研究该语言的缺陷。还要需要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。

　　注：黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。这个网站包含了脚本代码(有允许访问根目录的特性)就可能有这个安全隐患。

　　日志文件：在服务器上，要验证服务器的日志是否正常工作，例如CPU的占用率是否很高，是否有例外的进程占用，所有的事务处理是否被记录等。

　　目录：WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当，通过简单的URL替换和推测，会将整个WEB目录完全暴露给用户，这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式，如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限，将这种隐患降低到最小程度。

以上所分享的是关于对网站安全性测试的个人见解，下面是编辑为你推荐的有价值的用户互动：

　　相关问题：网站安全性如何检测？

　　答：网站安全性检测技术属于互联网信息安全领域，有人说，在这个信息共享和个人隐私无处可藏的年代，安全变得越来越遥不可及，仿佛“不那么重要”了！这种观点，肯定了互联网时代的共享精神主旨，但是却忽略了分寸，任何事物都需要把握度的问题，超越... >>详细

　　相关问题：如何进行WEB安全性测试

　　答：一般来说，一个WEB应用包括WEB服务器运行的操作系统、WEB服务器、WEB应用逻辑、数据库几个部分，其中任何一个部分出现安全漏洞，都会导致整个系统的安全性问题。 对操作系统来说，最关键的操作系统的漏洞，Windows上的RPC漏洞、缓冲区溢出漏洞、... >>详细

　　相关问题：如何测试自己网站有哪些漏洞，以便提高网站的安全性？

　　答：建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。 有条件建议找专业做网站安全的sine安全来做安全维护。 一：挂马预防措施： 1、建... >>详细