安全性測試是為了確定一個web應用程式有足夠的能力,防止未經授權的使用者通路資源和資料而執行的。在web應用程式和其他用戶端伺服器應用程式,安全性測試起着至關重要的作用,因為它可以幫助你在正在進行中的網站或web應用程式中找出漏洞或弱點。
然而,在你開始web應用程式安全性測試之前,有幾個很重要的你需要知道的有關安全測試中使用的術語。 這裡是一些會經常會在web應用程式測試中使用到的常用術語:
“漏洞”——這不過是一些web應用程式中的弱點。其背後的主要原因可能是在應用程式中的bug。
“url處理”——很多web應用程式通過url來實作用戶端和伺服器之間的互動或者共享資訊。修改url中的某些資訊可能會導緻伺服器不确定行為。
“xss(跨站腳本)”——每當使用者在web應用程式的使用者界面插入html或其他任何用戶端腳本,并且當其被其他人可見時,這被稱為跨站腳本!
“欺騙”——這個意味着創造外觀類似的網站或電子郵件的騙局。
一旦你熟悉了所有的名詞,下一步是開始了解安全測試的不同屬性。在執行安全測試的網站或web應用程式中,有七個基本屬性,涵蓋了包括認證,授權,保密性,可用性,完整性,不可否認性和韌性。讓我們詳細了解一下它們:
認證:這不過是一個通路系統前确認通路者身份的過程。隻有在成功破解驗證過程的情況下才允許使用者通路網站或web應用程式。
授權:一旦使用者通過認證,授權就可以用來限制使用者通路基于其身份的某些功能。
保密性:這基本上是用來驗證是否任何未經授權的使用者和無此權限的使用者都不能夠通路該資訊。它有助于保護來自使用者的資訊和資源授權。
可用性:它将檢查系統是否在除了維護安全更新檔和更新之外可以讓授權使用者随時使用。此外,系統的停機時間應盡可能短,來使系統有更高的可用性。
完整性:它保證了資訊接收的傳輸過程中不被修改,并确認是否給不同組的使用者都提供了正确的資訊。
不可否認性:它追蹤誰正在通路系統,那些請求被拒絕,以及其他類似時間戳,ip位址等等的細節。
韌性:它會檢查系統是否有足夠承受攻擊的能力。這可以通過使用加密來實作。
這些都是web應用程式安全測試的主要屬性。然而,這個清單并不詳盡。好了,那我們可以在安全測試執行哪些測試? 這裡有一些安全測試的主要類型:
安全審計:它主要包括開發應用程式的直接檢驗。它還包括代碼演練。
安全掃描:它涉及到掃描web應用程式或系統和驗證。在這種測試中,審計人員主要檢查并找出應用程式中的缺陷。
漏洞掃描:将測試該應用程式的所有可能的漏洞。大多數時候它是利用掃描軟體或應用程式來掃描漏洞。
風險評估:這是一種涉及基于損失的類型和損失發生可能性的分析和決定風險的方法。
狀态評估及安全性測試:它包括了為了達到安全目的的安全檢測,風險評估和道德黑客攻擊的組合。
滲透測試:在該方法中,測試人員強行通路和輸入被測試應用。測試人員将嘗試使用一些其他的應用程式或一些組合應用程式的漏洞,來通路一個網站或系統。
道德黑客:這都是在一個網站或web應用程式的安全性測試中強行入侵外部元素。它也包括了一系列的滲透測試。
請確定您了解并記住所有在這裡的介紹,來使您的web應用程式安全測試有效且成功。希望這些資訊可以幫助你成功地執行安全測試。
最新内容請見作者的github頁:http://qaseven.github.io/