好文档就是一把金锄头!
| 帮助中心
电子文档交易市场
安卓APP | ios版本
上传文档赚钱
电子文档交易市场
安卓APP | ios版本
上传文档赚钱
热门分类
  • 商业/管理/HR >
    商业计划书 创业/孵化 市场营销
  • 办公文档 >
    PPT模板库 总结/报告 演讲稿/致辞
  • 高等教育 >
    大学课件 研究生课件 工学
  • 中学教育 >
    教学课件 高考 中考
  • 医学/心理学 >
    基础医学 药学 中医/养生
  • 资格认证/考试 >
    公务员考试 专升本考试 建造师考试
  • 行业资料 >
    食品饮料 化学工业 展会/博览会
    • 首页 专题库 PPT模板库 文档定制 热门检索 牛人榜
    您所在位置: 网站首页 > 高等教育 > 其它相关文档安全性测试涉及的内容

    安全性测试涉及的内容

    7页
  • 卖家[上传人]:pu****.1
  • 文档编号:496876474
  • 上传时间:2022-10-19
  • 文档格式:DOC
  • 文档大小:16.50KB
    • / 7 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题

      • 1、真诚为您提供优质参考资料,若有不当之处,请指正。安全性测试涉及的内容一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。1.安全体系测试1)部署与基础结构网络是否提供了安全的通信部署拓扑结构是否包括内部的防火墙部署拓扑结构中是否包括远程应用程序服务器基础结构安全性需求的限制是什么目标环境支持怎样的信任级别2)输入验证如何验证输入A.是否清楚入口点B.是否清楚信任边界C.是否验证Web页输入D.是否对传递到组件或Web服务的参数进行验证E.是否验证从数据库中检索的数据F.是否将方法集中起来G.是否依赖客户端的验证H.应用程序是否易受SQL注入攻击I.应用程序是否易受XSS攻击如何处理输入3)身份验证是否区分公共访问和受限访问是否明确服务帐户要求如何验证调用者身份如何验证数据库的身份是否强制试用帐户管理措施4)授权如何向最终用户授权如何在数据库中授权应用程序如何将访问限定于系统级资源5)配置管理是否支持远程管理是否保证配置存储的安全是否隔离管理员特权6)敏感数据是否存储机密信息如何存

      2、储敏感数据是否在网络中传递敏感数据是否记录敏感数据7)会话管理如何交换会话标识符是否限制会话生存期如何确保会话存储状态的安全8)加密为何使用特定的算法如何确保加密密钥的安全性9)参数操作是否验证所有的输入参数是否在参数过程中传递敏感数据是否为了安全问题而使用HTTP头数据10)异常管理是否使用结构化的异常处理是否向客户端公开了太多的信息11)审核和日志记录是否明确了要审核的活动是否考虑如何流动原始调用这身份2.应用及传输安全WEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全,安全性测试也可以从这两方面入手。应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患,主要测试区域如下。注册与登陆:现在的Web应用系统基本采用先注册,后登录的方式。A.必须测试有效和无效的用户名和密码B.要注意是否存在大小写敏感,C.可以尝试多少次的限制D.是否可以不登录而直接浏览某个页面等。在线超时:Web应用系统是否有超时的限制,也就是说,用户登陆一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。操作留痕:为了保证Web应用系统的安全性,日志文件是至关

      3、重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。备份与恢复:为了防范系统的意外崩溃造成的数据丢失,备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对安全性的要求可以采用多种手 段,如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的安全性要求,某些实时系统经常会采用双机热备或多级热备。除了对于这些备份与恢复方式 进行验证测试以外,还要评估这种备份与恢复方式是否满足Web系统的安全性需求。传输级的安全测试是考虑到Web系统的传输的特殊性,重点测试数据经客户端传送到服务器端可能存在的安全漏洞,以及服务器防范非法访问的能力。一般测试项目包括以下几个方面。HTTPS和SSL测试:默认的情况下,安全HTTP(Soure HTTP)通过安全套接字SSL(Source Socket Layer)协议在 端口443上使用普通的HTTP。HTTPS使用的公共密钥的加密长度决定的HTTPS的安全级别,但从某种意义上来说,安全性的保证是以损失性能为代价 的。除了还要测试加密是否正确,检查信息的完整性和确认HTTPS的安全级别外,还要注意在此安全级别下,其性能是否达到要求。服务器端的脚本漏洞检查:存在于服务器端的脚本常常构成安全漏洞,这些漏洞又往往被黑客利用。所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。防火墙测试:防火墙是一种主要用于防护非法访问的路由器,在Web系统中是很常用的一种安全系统。防火墙测试是一个很大很专业的课题。这里所涉及的只是对防火墙功能、设置进行测试,以判断本Web系统的安全需求。另推荐安全性测试工具:Watchfire AppScan:商业网页漏洞扫描器(此工具好像被IBM收购了,所以推荐在第一位)AppScan按照应用程序开发生命周期进行安全测试,早在开发阶段就进行单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨网站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。 /

      《安全性测试涉及的内容》由会员pu****.1分享,可在线阅读,更多相关《安全性测试涉及的内容》请在金锄头文库上搜索。

      点击阅读更多内容
    TA的资源
    点击查看更多
    新上传的WORD文档
    欧姆定律的应用.doc 公司合作协议书模板汇总八篇.docx 八年级复习提纲.doc 安全素质知识竞赛试卷一 脚手架操作平台搭设方案.doc 说课基本要素简短介绍.doc 大同卤制食品销售项目可行性研究报告_模板范文 学校就业工作计划三篇 voa英语听力下载:野生黑猩猩饮用酒精饮料.docx 开清棉工艺流程.doc 幼儿园小班科学活动《方糖不见了》含微课视频PPT课件教案反思.docx 写作顺序有以下几种.doc 2021师德师风演讲稿___多篇.docx Unit1导学案22.doc 教师备课制度.doc
    最新标签
    监控施工 信息化课堂中的合作学习结业作业七年级语文 发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.