Web安全性測試有哪些測試要點？

公司：#貝殼 #順豐 

崗位：#軟件測試工程師 關(guān)鍵字：#功能測試 #測試分析 #安全測試 安全性測試要求： 

（1）能夠?qū)γ艽a試探工具進(jìn)行防范 

（2）能夠防范對Cookie攻擊的常用手段 

（3）敏感數(shù)據(jù)保證不用明文傳輸 

（4）能防范通過文件名猜測和查看html文件內(nèi)容獲取重要信息 

（5）能保證在網(wǎng)站收到工具后在給定時間內(nèi)恢復(fù)，重要數(shù)據(jù)丟失不超過1小時 測試要點 

（1）應(yīng)用級的安全 應(yīng)用級的安全測試目的在于查找Web系統(tǒng)自身程序設(shè)計中存在的安全隱患，測試區(qū)域有： 

（1.1）注冊與登錄：有效、無效的用戶名和密碼；要注意是否存在大小寫敏感；可以嘗試多少次的限制；是否可以不登錄而直接瀏覽某個頁面 

（1.2）在線超時：超時限制 

（1.3）操作留痕：相關(guān)信息是否寫入日志

（1.4）備份與恢復(fù)：數(shù)據(jù)庫增量備份；數(shù)據(jù)庫完全備份；系統(tǒng)完全備份 

（2）傳輸級的安全 傳輸級的安全測試目的在于測試數(shù)據(jù)經(jīng)過客戶端傳送到服務(wù)器可能存在的安全漏洞，服務(wù)器防范非法訪問的能力，測試要點： 

（2.1）HTTPS和SSL測試；服務(wù)器端的腳本漏洞檢查；測試未經(jīng)授權(quán)，就不能在服務(wù)器端放置和編輯腳本問題

（2.2）防火墻測試：防火墻功能；防火墻設(shè)置 

（2.3）數(shù)據(jù)加密測試：對介入信息的傳送、存取、處理人的身份和相關(guān)內(nèi)容進(jìn)行驗證 

（2.4）密鑰：密鑰的產(chǎn)生、分配保存、更換與銷毀