Web安全性測(cè)試有哪些測(cè)試要點(diǎn)？

公司：#貝殼 #順豐 

崗位：#軟件測(cè)試工程師 關(guān)鍵字：#功能測(cè)試 #測(cè)試分析 #安全測(cè)試 安全性測(cè)試要求： 

（1）能夠?qū)γ艽a試探工具進(jìn)行防范 

（2）能夠防范對(duì)Cookie攻擊的常用手段 

（3）敏感數(shù)據(jù)保證不用明文傳輸 

（4）能防范通過文件名猜測(cè)和查看html文件內(nèi)容獲取重要信息 

（5）能保證在網(wǎng)站收到工具后在給定時(shí)間內(nèi)恢復(fù)，重要數(shù)據(jù)丟失不超過1小時(shí) 測(cè)試要點(diǎn) 

（1）應(yīng)用級(jí)的安全 應(yīng)用級(jí)的安全測(cè)試目的在于查找Web系統(tǒng)自身程序設(shè)計(jì)中存在的安全隱患，測(cè)試區(qū)域有： 

（1.1）注冊(cè)與登錄：有效、無效的用戶名和密碼；要注意是否存在大小寫敏感；可以嘗試多少次的限制；是否可以不登錄而直接瀏覽某個(gè)頁面 

（1.2）在線超時(shí)：超時(shí)限制 

（1.3）操作留痕：相關(guān)信息是否寫入日志

（1.4）備份與恢復(fù)：數(shù)據(jù)庫增量備份；數(shù)據(jù)庫完全備份；系統(tǒng)完全備份 

（2）傳輸級(jí)的安全 傳輸級(jí)的安全測(cè)試目的在于測(cè)試數(shù)據(jù)經(jīng)過客戶端傳送到服務(wù)器可能存在的安全漏洞，服務(wù)器防范非法訪問的能力，測(cè)試要點(diǎn)： 

（2.1）HTTPS和SSL測(cè)試；服務(wù)器端的腳本漏洞檢查；測(cè)試未經(jīng)授權(quán)，就不能在服務(wù)器端放置和編輯腳本問題

（2.2）防火墻測(cè)試：防火墻功能；防火墻設(shè)置 

（2.3）數(shù)據(jù)加密測(cè)試：對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)內(nèi)容進(jìn)行驗(yàn)證 

（2.4）密鑰：密鑰的產(chǎn)生、分配保存、更換與銷毀