網(wǎng)站安全性測試項目發(fā)布者：本站     時(shí)間：2020-06-30 09:06:23

進(jìn)一步完善網(wǎng)站的安全性能,確保用戶(hù)信息、錄入數據、傳輸數據和服務(wù)器運行中的相關(guān)數據的安全。Web應用系統的安全性測試區域主要有如下幾個(gè)

1)目錄設置
Web安全的第一步就是正確設置目錄。每個(gè)目錄下應該有 index.html或maln.html頁(yè)面,這樣就不會(huì )顯示該目錄下的所有內容。如果沒(méi)有執行這條規則。那么選中一幅圖片,右擊,找到該圖片所在的路徑“…com/ objects/ Images”。然后在瀏覽器地址欄中手工輸入該路徑,發(fā)現該站點(diǎn)所有圖片的列表。這可能沒(méi)什么關(guān)系,但是進(jìn)入上一級目錄“…com/objects”",單擊 jack pot,在該目錄下有很多資料,其中有些都是已過(guò)期頁(yè)面。如果該公司每個(gè)月都要更改產(chǎn)品價(jià)格信息,并且保存過(guò)期頁(yè)面,那么只要翻看一下這些記錄,就可以估計他們的利潤以及他們?yōu)榱藸幦∫粋€(gè)合同還有多大的降價(jià)空間。如果某個(gè)客戶(hù)在談判之前查看了這些信息,他們在談判桌上肯定處于上風(fēng)。

2)登錄
現在的Web應用系統基本采用先注冊,后登錄的方式。因此,必須測試有效和無(wú)效的用戶(hù)名和密碼,要注意到是否大小寫(xiě)敏感,可以試多少次的限制,是否可以不登錄而直接瀏覽某個(gè)頁(yè)面等。

3)session
 Session是指一個(gè)終端用戶(hù)與交互系統進(jìn)行通信的時(shí)間間隔,通常指從注冊進(jìn)入系統到 注銷(xiāo)退出系統之間所經(jīng)過(guò)的時(shí)間,如果需要的話(huà),可能還有一定的操作空間。具體到web中的Session指的就是用戶(hù)在瀏覽某個(gè)網(wǎng)站時(shí),從進(jìn)入網(wǎng)站到瀏覽器關(guān)閉所經(jīng)過(guò)的這段時(shí)間,也就是用戶(hù)瀏覽這個(gè)網(wǎng)站所花費的時(shí)間。Web應用系統應根據需要可設置超時(shí)的限制,也就是說(shuō),用戶(hù)登錄后在一定時(shí)間內(例如15分鐘)沒(méi)有單擊任何頁(yè)面,則需要重新登錄才能正常使用。

4)日志文件
為了保證web應用系統的安全性,日志文件是至關(guān)重要的。需要測試相關(guān)信息是否寫(xiě)進(jìn)了日志文件、是否可追蹤

5)加密
當使用了安全套接字時(shí),還要測試加密是否正確,檢查信息的完整性。

6)安全漏洞
服務(wù)器端的腳本常常構成安全漏洞,這些漏洞又常常被黑客利用。所以,還要測試沒(méi)有經(jīng)過(guò)授權,就不能在服務(wù)器端放置和編輯腳本的問(wèn)題 。安全性在網(wǎng)站制作過(guò)程中至關(guān)重要，關(guān)系到網(wǎng)站今后發(fā)展的安全，不可忽視。