Web安全測(cè)試二步走

Web安全測(cè)試也應(yīng)該遵循盡早測(cè)試的原則，在進(jìn)行功能測(cè)試的時(shí)候（就應(yīng)該執(zhí)行下面的測(cè)試Checklist安全測(cè)試場(chǎng)景），然后在功能測(cè)試完成之后、性能測(cè)試之前進(jìn)行掃描測(cè)試，可以用工具AppScan,Hp Webinspect,AWS等漏洞掃描工具進(jìn)行掃描。

第一步：比較常用的安全測(cè)試Checklist如下：

1：不登錄系統(tǒng)，直接輸入登錄后的頁(yè)面URL是否可以訪問(wèn)。

2：不登錄系統(tǒng)，直接輸入下載文件的URL是否可以下載文件。

3：退出登錄后，點(diǎn)擊瀏覽器的的后退按鈕能否訪問(wèn)之前的頁(yè)面。

4：手動(dòng)更改URL中的參數(shù)值能否訪問(wèn)沒(méi)有權(quán)限訪問(wèn)的頁(yè)面。如普通用戶對(duì)應(yīng)的URL中的參數(shù)為l＝e，高級(jí)用戶對(duì)應(yīng)的URL中的參數(shù)為l＝s，以普通用戶的身份登錄系統(tǒng)后將URL中的參數(shù)e改為s來(lái)訪問(wèn)沒(méi)有權(quán)限訪問(wèn)的頁(yè)面。

5.所有憑證都應(yīng)該通過(guò)一個(gè)加密傳輸通道（比如在登錄的過(guò)程中）。

6：安全頁(yè)面應(yīng)該使用https協(xié)議。

7：驗(yàn)證sql注入（包括數(shù)字型注入和字符型注入等）。

8：驗(yàn)證XSS跨站腳本漏洞，執(zhí)行新增操作時(shí)候，要在所有輸入框中輸入
9.對(duì)文件上傳功能應(yīng)使用文件類型限制，或exe等可執(zhí)行文件后，確認(rèn)在服務(wù)器端是否可直接運(yùn)行。

10：驗(yàn)證上傳漏洞，只要Web應(yīng)用程序允許上傳文件，那就有可能存在文件上傳漏洞。因?yàn)橛行┏绦驔](méi)有對(duì)上傳的文件進(jìn)行格式驗(yàn)證，或者純粹只在客戶端做JS驗(yàn)證，***者可以通過(guò)firebug刪除客戶端的javascript驗(yàn)證，或者通過(guò)Burp Suit按正常的流程通過(guò)JavaScript驗(yàn)證，然后在傳輸?shù)膆ttp層做手腳。

11.錯(cuò)誤信息中是否含有SQL語(yǔ)句，SQL錯(cuò)誤信息以及web服務(wù)器的其他敏感信息。

12：驗(yàn)證Session的有效期。

第二步：功能測(cè)試完成之后，性能測(cè)試啟動(dòng)之前，在用專業(yè)的掃描工具進(jìn)行掃描,生成測(cè)試報(bào)告，比如WVS與AppScan都是位居前十名的掃描工具。