（一）、安全測試是什么？

所謂安全性測試（security testing）是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。

注意：安全性測試并不最終證明應用程序是安全的，而是用于驗證所設立策略的有效性，這些對策是基于威脅分析階段所做的假設而選擇的。

（二）、WEB安全性測試

一個完整的WEB安全性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密、參數操作、異常管理、審核和日志記錄等幾個方面入手。

一、?安全體系測試

1、部署與基礎結構 網絡是否提供了安全的通信 部署拓撲結構是否包括內部的防火墻 部署拓撲結構中是否包括遠程應用程序服務器 基礎結構安全性需求的限制是什么 目標環境支持怎樣的信任級別

2、 輸入驗證

如何驗證輸入

1）?是否清楚入口點

2）?是否清楚信任邊界

3）?是否驗證Web頁輸入

4）?是否對傳遞到組件或Web服務的參數進行驗證

5）?是否驗證從數據庫中檢索的數據

6）?是否將方法集中起來

7）?是否依賴客戶端的驗證

8）?應用程序是否易受SQL注入攻擊

9）?應用程序是否易受XSS攻擊

如何處理輸入

3、身份驗證

1）是否區分公共訪問和受限訪問

2）是否明確服務帳戶要求

3）如何驗證調用者身份

4）如何驗證數據庫的身份

5）是否強制試用帳戶管理措施

4、授權

1）如何向最終用戶授權

2）如何在數據庫中授權應用程序

3）如何將訪問限定于系統級資源

5、配置管理

1）是否支持遠程管理

2）是否保證配置存儲的安全

3）是否隔離管理員特權

6、?敏感數據

是否存儲機密信息

如何存儲敏感數據

是否在網絡中傳遞敏感數據

是否記錄敏感數據

測試實施

1、?不登錄系統，直接輸入登錄后的頁面的url是否可以訪問

2、?不登錄系統，直接輸入下載文件的url是否可以下載，如輸入http://url/download?name=file是否可以下載文件file

3、?退出登錄后按后退按鈕能否訪問之前的頁面

4、?ID/密碼驗證方式中能否使用簡單密碼。如密碼標準為6位以上，字母和數字混合，不能包含ID，連續的字母或數字不能超過n位

5、?重要信息（如密碼，身份證號碼，信用卡號等）在輸入或查詢時是否用明文顯示；在瀏覽器地址欄里輸入命令javascrīpt:alert(doucument.cookie)時是否有重要信息；在html源碼中能否看到重要信息

6、?手動更改URL中的參數值能否訪問沒有權限訪問的頁面。如普通用戶對應的url中的參數為l=e，高級用戶對應的url中的參數為l=s，以普通用戶的身份登錄系統后將url中的參數e改為s來訪問本沒有權限訪問的頁面

7、?url里不可修改的參數是否可以被修改

8、?上傳與服務器端語言（jsp、asp、php）一樣擴展名的文件或exe等可執行文件后，確認在服務器端是否可直接運行

9、?注冊用戶時是否可以以'--,' or 1=1 --等做為用戶名

10、?傳送給服務器的參數（如查詢關鍵字、url中的參數等）中包含特殊字符（','and 1=1 --,' and 1=0 --,'or 1=0 --）時是否可以正常處理

11、?執行新增操作時，在所有的輸入框中輸入腳本標簽（<scrīpt>alert("")</scrīpt>）后能否保存

12、?在url中輸入下面的地址是否可以下載：http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd

13、?是否對session的有效期進行處理

14、?錯誤信息中是否含有sql語句、sql錯誤信息以及web服務器的絕對路徑等

15、?ID/密碼驗證方式中，同一個賬號在不同的機器上不能同時登錄

16、?ID/密碼驗證方式中，連續數次輸入錯誤密碼后該賬戶是否被鎖定

17、?新增或修改重要信息（密碼、身份證號碼、信用卡號等）時是否有自動完成功能（在form標簽中使用autocomplete=off來關閉自動完成功能）

1、web平臺：web平臺軟件漏洞,包括Http底層服務軟件(比如，IIS或Apache)等底層基礎設施，以及應用程序開發框架(如Asp.Net或者PHP).

2、web應用：對授權、認證、站點結構、輸入驗證、程序邏輯以及管理接口進行攻擊。

3、數據庫：通過數據庫查詢進行特權命令，操縱查詢以返回額外的數據集，這里最具破壞性的攻擊是SQL注入。

4、web客戶端：活動內容執行、客戶端軟件漏洞攻擊、跨站腳本錯誤，以及釣魚欺騙

5、傳輸：竊聽客戶-服務器通信，SSL重定向

6、可用性：如果要你迅速地指出更危險的"黑客"技術，拒絕服務攻擊(denial of service,DoS)經常會被遺漏，其實DoS攻擊是任何可公開訪問的Web應用所面臨的最大威脅之一。讓任何資源都對公眾開放本來就有很大的挑戰，在網絡世界中更是如此。

其中Open Web Application Security Project(owas)就是流行之一。

?推薦測試網站各項性能的免費在線工具

你是否肯定你的網站完全兼容各大瀏覽器？是否知道多少秒可以打開你的網站？是否可以自信地說你的網站根本就沒有打不開的時候？是否…… ?????????????

雖然它看似不重要，但這些在一定程度上也對你的網站的訪問量產生了影響 （其它一部分影響瀏覽量的原因及解決辦法）。這里列出了一份31個我最喜愛的免費在線測試工具，你可以通過這些工具來測試你的網站，并根據結果對你的網站進行修改。 ?????????????

網站代碼驗證沒人可以細致到保證自己的網站代碼都是正確的，你可以通過以下測試來驗證網站代碼是否正確。 ?????????????

1 、WDG HTML Validator

一個很好的工具，能找出網站語法錯誤的地方，并標注出來，也可選擇對網站上單獨的每一頁進行單頁分析。（強烈推薦） ? ?????????????

2 、 W3C Markup Validation Service

?對 HTML 和 XHTML 都能進行代碼測試，自稱是互聯網絡上第一個（也是使用者最多的）的 HTML 驗證工具。 ? ????????????

3 、 W3C CSS Validation Service

用于驗證 css 源代碼，能夠標注出不好的 css 代碼設計。例如：“Same colors for color and background-color in two contexts”。 ? ?????????????

4 、 RUWF XML Syntax Checker

用于查找 XML 文件的錯誤。 ? ?????????????

5 、 W3C Feed Validation Service

用于查找 Atom 和 RSS feed 中的錯誤語法。 ? ?????????????

6 、 W3C Link Checker

用于搜尋查明你網站內的所有鏈接里是否有斷鏈。（強烈推薦） ? ?????????????

7 、Juicy Studio Link Analyser

測試網站內的鏈接的 URL 是否存在死鏈，與 W3C Link Checker 很類似。網站的使用性我們常常看到網站設計者把重點放在怎網站的吸引力上，而完全不考慮會不會影響來訪者的使用，一個瀏覽難度很大的網頁是注定要失敗，要讓你的來訪者方便的得到他要的信息（從而成為重復訪客），你的網站應當遵循 WCAG section 508 易用性規則。 ? ?????????????

8 、Watchfire WebXACT

所有嚴謹的設計師和開發者都必須使用的工具，它會生成一個非常詳盡的報告書，包括：網站質量，易用性和隱私等。（強烈推薦） ? ?????????????

9 、 ATRC Web Accessibility Checker

測試網站的 WCAG 2.0 Level2 兼容性，它會生成一份報告，提出一系列建議，如：如何提升頁頭，鏈接，數據，圖表和文字的訪問速度。 ? ?????????????

10 、WAVE 3.0 Web Accessibility Tool

高度可定制的工具，它采用了圖形化模型展示網站兼容性問題（ WCAG 1.0 and section 508 ）。（強烈推薦） ? ?????????????

11 、TAW Web Accessibility Test

測試網頁是否存在沖突（ WCAG 1.0 兼容性 ），通過圖形模式生成一份依據 wcag 優先模式為基礎的網站修改建議。 ? ?????????????

12 、HiSoftware CynthiaSays portal

采用了非常嚴格的規則來測試網頁（ 根據 section 508 和 WCAG 1.0 規則），生成的報告也極為詳細（詳細到很難看懂 ）。 ? ?????????????

13 、HERA Accessibility testing with Style?

使用一種極為復雜但容易理解方式指出網頁的 wcag1.0 兼容性問題。 ? ?????????????

14 、Juicy Studio CSS Analyser

進行了色彩對比測試，以確保你的網站的色調會符合 WCAG 1.0 的要求。 ? ?????????????

15 、Juiciy Studio Readability Test

分析你網站上的文字是否有語法錯誤或拼寫錯誤等問題，容易讓人理解不（ 根據 the Flesch Reading Ease 和 Flesch-Kincaid grade level algorithms 規則）。（適合英文網站使用）網站的速度打開你的網站的速度快慢，是來訪者會不會再次訪問網站的關鍵因素，在一般情況下，一個網絡不是很快的來訪者是不愿意訪問一個充滿著圖片、 flash 動畫、多媒體文件的網站。為了使你的網站覆蓋人群的范圍最大化，你必須優化你的網站，使它的打開速度盡可能的快。

?

下面的是追加: 有和上面重復的請忽略

網站代碼驗證工具

1.?WDG HTML Validator?一個很好的工具，能找出網站語法錯誤的地方，并標注出來，也可選擇對網站上單獨的每一頁進行單頁分析。（強烈推薦）
2.?W3C Markup Validation Service?對 HTML 和 XHTML 都能進行代碼測試，自稱是互聯網絡上第一個（也是使用者最多的）的 HTML 驗證工具。（這個我也自己體驗了下，可以校驗html代碼 是否符合語法）
3.?W3C CSS Validation Service?用于驗證 css 源代碼，能夠標注出不好的 css 代碼設計。例如：“Same colors for color and background-color in two contexts”。

4.?RUWF XML Syntax Checker?用于查找 XML 文件的錯誤。
5.?W3C Feed Validation Service?用于查找 Atom 和 RSS feed 中的錯誤語法。（這個我經常用到）
6.?W3C Link Checker?用于搜尋查明你網站內的所有鏈接里是否有斷鏈。（強烈推薦）
7.?Juicy Studio Link Analyser?測試網站內的鏈接的 URL 是否存在死鏈，與 W3C Link Checker 很類似。
網站的使用性工具
我們常常看到網站設計者把重點放在怎網站的吸引力上，而完全不考慮會不會影響來訪者的使用，一個瀏覽難度很大的網頁是注定要失敗，要讓你的來訪者方便的得到他要的信息（從而成為重復訪客），你的網站應當遵循 WCAG section 508 易用性規則。
8.?Watchfire WebXACT?所有嚴謹的設計師和開發者都必須使用的工具，它會生成一個非常詳盡的報告書，包括：網站質量，易用性和隱私等。（強烈推薦）
9.?ATRC Web Accessibility Checker?測試網站的 WCAG 2.0 Level2 兼容性，它會生成一份報告，提出一系列建議，如：如何提升頁頭，鏈接，數據，圖表和文字的訪問速度。
10.?WAVE 3.0 Web Accessibility Tool?高度可定制的工具，它采用了圖形化模型展示網站兼容性問題（ WCAG 1.0 and section 508 ）。（強烈推薦）
11.?TAW Web Accessibility Test?測試網頁是否存在沖突（WCAG 1.0 兼容性），通過圖形模式生成一份依據 wcag 優先模式為基礎的網站修改建議。
12.?HiSoftware CynthiaSays portal?采用了非常嚴格的規則來測試網頁（根據 section 508 和 WCAG 1.0 規則），生成的報告也極為詳細（詳細到很難看懂）。
13.?HERA Accessibility testing with Style?使用一種極為復雜但容易理解方式指出網頁的 wcag1.0 兼容性問題。
14.?Juicy Studio CSS Analyser?進行了色彩對比測試，以確保你的網站的色調會符合 WCAG 1.0 的要求。
15.?Juiciy Studio Readability Test?分析你網站上的文字是否有語法錯誤或拼寫錯誤等問題，容易讓人理解不（根據 the Flesch Reading Ease 和 Flesch-Kincaid grade level algorithms 規則）。（適合英文網站使用）
網站的速度
打開你的網站的速度快慢，是來訪者會不會再次訪問網站的關鍵因素，在一般情況下，一個網絡不是很快的來訪者是不愿意訪問一個充滿著圖片、flash 動畫、多媒體文件的網站。為了使你的網站覆蓋人群的范圍最大化，你必須優化你的網站，使它的打開速度盡可能的快。
16.?Web Page Analyzer from Website Optimization?一個很好的工具，它在分析完一個網頁后，會為減少加載時間提出優化建議，著重優化物體的數目，圖片和網站的總體大小。（強烈推薦）
17.?WebSitePulse Test Tools?有一系列的工具來確定網站的加載速度和主機信息。
18.?Internet Supervision Url Check?從世界各地不同的服務器來測試你的網站的加載時間，用于確定是不是各地的來訪者都能順利快速的打開你得網站。
瀏覽器模擬工具
這是一個普遍的問題，因為現在有著很多的操作系統和瀏覽器，你得網站必須得兼容它們，但這絕不是一件容易的事。通過下列工具，你可以了解你得網站在各種瀏覽器上的顯示效果。
19.?Browsershots?能給出你的網站在不同瀏覽器下顯示效果的截圖，包括：Firefox 和 Internet Explorer （ Windows ）、Firefox 和 Safari （ Mac OS X ）、Iceweasal 和 Konqueror （ Linux ），但是結果要在 1 - 3 小時后才能出來。
20.?IE NetRenderer?實時生成你的網站在 Internet Explorer 5.5 、6.0 和 7.0 下的截圖。
21.?MobiReady Report?分析使用手機訪問網頁的兼容性問題，會生成一份詳細的報告，并提供了在兩種不同類型的手機瀏覽器上你得網站可能顯示的樣子。
搜索引擎優化(SEO)
一個網站，如果對搜索引擎有著比較好的友好度，一定會比較有競爭力。
22.?UrlTrends?會顯示網站的訪客是如何通過搜索引擎來到你的網站，還有各個流量是多少。這些數據是包括 Google, Yahoo, MSN, Alexa, AlltheWeb, AltaVista 和其他一些網站。（強烈推薦）
23.?iWEBTOOL Backlink Checker?一個很好的工具，它能找出有什么站點鏈接到你的站點，那些站點是什么類型的站點。
24.?iWEBTOOL Multi-Rank Checker?顯示你網站的 Alexa 和 Google PageRank 數值。
25.?Microsoft adCenter Labs: Advertising and Keyword Research Tools?一個極好的工具，用于分析和預測你網站的來訪者和市場。（強烈推薦）
26.?Domain Tools Whois lookup?一個 WHOIS 網絡工具。
27.?SEO-Browser?可以讓你看到在搜索引擎眼里一樣的網站（去掉所有的”美麗”配件）。
28.?SEO Workers SEO Analysis Tool?非常有用的工具，分析了網站上的各種分類特征，包括 meta 標簽、關鍵字密度及加載時間。（強烈推薦）
29.?Seekport Seekbot?可以分析網站的數據和內容，以得出搜索引擎會如何有效的解釋分析的網站。
30.?SEO Chat SEO Tools?用以分析網站 Google adsense 盈利潛力，關鍵字密度，Meta tag 等等……
31.?Marketleap Search Engine Marketing Tools?用來分析網頁，讓你知道你的網站檢索、設定的關鍵字好不好。

轉載于:https://www.cnblogs.com/kaibindirver/p/8309557.html

總結

以上是生活随笔為你收集整理的如何进行网站的安全测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。