一、闡述常見的Web安全測試有幾種類型？

數(shù)據(jù)加密：某些數(shù)據(jù)需要進(jìn)行信息加密和過濾后才能在客戶端和服務(wù)器之間進(jìn)行傳輸，包括用戶登錄密碼、信用卡信息等。

登錄或身份驗(yàn)證：一般的應(yīng)用站點(diǎn)都會使用登錄或者注冊后使用的方式，因此，必須對用戶名和匹配的密碼進(jìn)行校驗(yàn)，以阻止非法用戶登錄。在進(jìn)行登錄測試的時(shí)候，需要考慮輸入的密碼是否大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登錄，哪些頁面或者文件需要登錄后才能訪問/下載等。身份驗(yàn)證還包括調(diào)用者身份、數(shù)據(jù)庫的身份、用戶授權(quán)等，并區(qū)分公共訪問和受限訪問，受限訪問的資源。

輸入驗(yàn)證：在進(jìn)行Web安全性測試時(shí)，每個(gè)輸入域都需要用標(biāo)準(zhǔn)的機(jī)制驗(yàn)證，長度、數(shù)據(jù)類型等符合設(shè)定要求，不允許輸入JavaScript代碼，包括驗(yàn)證從數(shù)據(jù)庫中檢索的數(shù)據(jù)、傳遞到組件或Web服務(wù)的參數(shù)等。

SQL注入：從客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，從而獲取必要的數(shù)據(jù)庫信息，然后基于這些信息，可以注入某些參數(shù)，繞過程序的保護(hù)，針對數(shù)據(jù)庫服務(wù)器進(jìn)行攻擊。

超時(shí)限制：Web應(yīng)用系統(tǒng)一般會設(shè)定“超時(shí)”限制，當(dāng)用戶長時(shí)間不做任何操作時(shí)，需要重新登錄才能打開其他頁面。

目錄：如果Web程序或Web服務(wù)器的處理不適當(dāng)，可以通過簡單的URL替換和推測，使整個(gè)Web目錄暴露出來，帶來嚴(yán)重的安全隱患。

操作留痕：為了保證Web應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要的。需要測試相關(guān)信息是否寫進(jìn)入了日志文件，是否可追蹤。

二、安全測試工具

1、概述

序號	安全測試工具	商用OR免費(fèi)	檢測對象（二進(jìn)制/源代碼）	簡介
1	Metasploit	免費(fèi)	源代碼	為用戶提供已知安全漏洞主要信息的計(jì)算機(jī)安全項(xiàng)目（框架），并且Metasploit幫助指定滲透測試和IDS監(jiān)測計(jì)劃、戰(zhàn)略以及利用計(jì)劃
2	Nmap	免費(fèi)	二進(jìn)制	主機(jī)掃描工具，可以進(jìn)行全面的檢查，被用于發(fā)現(xiàn)網(wǎng)絡(luò)和安全審計(jì)
3	Paros proxy	免費(fèi)	源代碼	基于java的web代理程序，可以評估web應(yīng)用程序的漏洞
4	Pangolin	商用	源代碼	利用目標(biāo)網(wǎng)站的某個(gè)頁面缺少對用戶傳遞參數(shù)控制或者控制的不夠好的情況下出現(xiàn)的漏洞，從而達(dá)到獲取、修改、刪除數(shù)據(jù)，甚至控制數(shù)據(jù)庫服務(wù)器、Web服務(wù)器的目的的測試方法。
5	w3af	免費(fèi)	源代碼	針對Web應(yīng)用的檢測
6	Dsniff	免費(fèi)	源代碼	是一個(gè)基于unix系統(tǒng)網(wǎng)絡(luò)嗅探工具
7	Wapiti	免費(fèi)	源代碼	掃描指定目標(biāo)的網(wǎng)頁，并尋找腳本和表單來諸如數(shù)據(jù)，看看是否有漏洞
8	Nikto	免費(fèi)	源代碼	旨在發(fā)現(xiàn)Web服務(wù)器的配置錯誤，插件和網(wǎng)頁漏洞
...	?	?	?	?

?

?

?

?

?

?

?

2、安全測試工具試用

安裝：

?

完成安裝。

配置環(huán)境變量：

?打開：

?

打開時(shí)發(fā)生錯誤，應(yīng)該是殺毒軟件隔離刪除了部分文件，導(dǎo)致軟件功能不完整。

?

轉(zhuǎn)載于:https://www.cnblogs.com/zpp502/p/10838770.html

總結(jié)

以上是生活随笔為你收集整理的软件测试2019：第五次作业—— 安全测试（含安全测试工具实验）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。