Web安全測试时一个比較复杂的过程,软件測试人员能够在当中做一些简单的測试,例如以下:
Web安全測试也应该遵循尽早測试的原则,在进行功能測试的时候(就应该运行以下的測试Checklist安全測试场景),然后在功能測试完毕之后、性能測试之前进行扫描測试。能够用工具AppScan,Hp Webinspect,AWS等漏洞扫描工具进行扫描。
第一步:比較经常使用的安全測试Checklist例如以下:
1:不登录系统。直接输入登录后的页面URL能否够訪问。
2:不登录系统,直接输入下载文件的URL能否够下载文件。
3:退出登录后,点击浏览器的的后退button是否能訪问之前的页面。
4:手动更改URL中的參数值是否能訪问没有权限訪问的页面。如普通用户相应的URL中的參数为l=e,高级用户相应的URL中的參数为l=s,以普通用户的身份登录系统后将URL中的參数e改为s来訪问没有权限訪问的页面。
5.全部凭证都应该通过一个加密传输通道(比方在登录的过程中)。
6:安全页面应该使用https协议。
7:验证sql注入(包含数字型注入和字符型注入等)。
8:验证XSS跨站脚本漏洞,运行新增操作时候。要在全部输入框中输入
9.对文件上传功能应使用文件类型限制,或exe等可执行文件后,确认在server端是否可直接执行。
10:验证上传漏洞,仅仅要Web应用程序同意上传文件,那就有可能存在文件上传漏洞。由于有些程序没有对上传的文件进行格式验证,或者纯粹仅仅在client做JS验证,攻击者能够通过firebug删除client的javascript验证。或者通过Burp Suit按正常的流程通过JavaScript验证,然后在传输的http层做手脚。
11.错误信息中是否含有SQL语句,SQL错误信息以及webserver的其它敏感信息。
12:验证Session的有效期。
第二步:功能測试完毕之后,性能測试启动之前。在用专业的扫描工具进行扫描,生成測试报告。比方WVS与AppScan都是位居前十名的扫描工具。