（一）、安全測(cè)試是什么？

所謂安全性測(cè)試（security testing）是有關(guān)驗(yàn)證應(yīng)用程序的安全服務(wù)和識(shí)別潛在安全性缺陷的過(guò)程。

注意：安全性測(cè)試并不最終證明應(yīng)用程序是安全的，而是用于驗(yàn)證所設(shè)立策略的有效性，這些對(duì)策是基于威脅分析階段所做的假設(shè)而選擇的。

（二）、WEB安全性測(cè)試

一個(gè)完整的WEB安全性測(cè)試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等幾個(gè)方面入手。

一、?安全體系測(cè)試

1、部署與基礎(chǔ)結(jié)構(gòu) 網(wǎng)絡(luò)是否提供了安全的通信 部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻 部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器 基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么 目標(biāo)環(huán)境支持怎樣的信任級(jí)別

2、 輸入驗(yàn)證

如何驗(yàn)證輸入

1）?是否清楚入口點(diǎn)

2）?是否清楚信任邊界

3）?是否驗(yàn)證Web頁(yè)輸入

4）?是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證

5）?是否驗(yàn)證從數(shù)據(jù)庫(kù)中檢索的數(shù)據(jù)

6）?是否將方法集中起來(lái)

7）?是否依賴客戶端的驗(yàn)證

8）?應(yīng)用程序是否易受SQL注入攻擊

9）?應(yīng)用程序是否易受XSS攻擊

如何處理輸入

3、身份驗(yàn)證

1）是否區(qū)分公共訪問(wèn)和受限訪問(wèn)

2）是否明確服務(wù)帳戶要求

3）如何驗(yàn)證調(diào)用者身份

4）如何驗(yàn)證數(shù)據(jù)庫(kù)的身份

5）是否強(qiáng)制試用帳戶管理措施

4、授權(quán)

1）如何向最終用戶授權(quán)

2）如何在數(shù)據(jù)庫(kù)中授權(quán)應(yīng)用程序

3）如何將訪問(wèn)限定于系統(tǒng)級(jí)資源

5、配置管理

1）是否支持遠(yuǎn)程管理

2）是否保證配置存儲(chǔ)的安全

3）是否隔離管理員特權(quán)

6、?敏感數(shù)據(jù)

是否存儲(chǔ)機(jī)密信息

如何存儲(chǔ)敏感數(shù)據(jù)

是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)

是否記錄敏感數(shù)據(jù)

測(cè)試實(shí)施

1、?不登錄系統(tǒng)，直接輸入登錄后的頁(yè)面的url是否可以訪問(wèn)

2、?不登錄系統(tǒng)，直接輸入下載文件的url是否可以下載，如輸入http://url/download?name=file是否可以下載文件file

3、?退出登錄后按后退按鈕能否訪問(wèn)之前的頁(yè)面

4、?ID/密碼驗(yàn)證方式中能否使用簡(jiǎn)單密碼。如密碼標(biāo)準(zhǔn)為6位以上，字母和數(shù)字混合，不能包含ID，連續(xù)的字母或數(shù)字不能超過(guò)n位

5、?重要信息（如密碼，身份證號(hào)碼，信用卡號(hào)等）在輸入或查詢時(shí)是否用明文顯示；在瀏覽器地址欄里輸入命令javascrīpt:alert(doucument.cookie)時(shí)是否有重要信息；在html源碼中能否看到重要信息

6、?手動(dòng)更改URL中的參數(shù)值能否訪問(wèn)沒(méi)有權(quán)限訪問(wèn)的頁(yè)面。如普通用戶對(duì)應(yīng)的url中的參數(shù)為l=e，高級(jí)用戶對(duì)應(yīng)的url中的參數(shù)為l=s，以普通用戶的身份登錄系統(tǒng)后將url中的參數(shù)e改為s來(lái)訪問(wèn)本沒(méi)有權(quán)限訪問(wèn)的頁(yè)面

7、?url里不可修改的參數(shù)是否可以被修改

8、?上傳與服務(wù)器端語(yǔ)言（jsp、asp、php）一樣擴(kuò)展名的文件或exe等可執(zhí)行文件后，確認(rèn)在服務(wù)器端是否可直接運(yùn)行

9、?注冊(cè)用戶時(shí)是否可以以'--,' or 1=1 --等做為用戶名

10、?傳送給服務(wù)器的參數(shù)（如查詢關(guān)鍵字、url中的參數(shù)等）中包含特殊字符（','and 1=1 --,' and 1=0 --,'or 1=0 --）時(shí)是否可以正常處理

11、?執(zhí)行新增操作時(shí)，在所有的輸入框中輸入腳本標(biāo)簽（<scrīpt>alert("")</scrīpt>）后能否保存

12、?在url中輸入下面的地址是否可以下載：http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd

13、?是否對(duì)session的有效期進(jìn)行處理

14、?錯(cuò)誤信息中是否含有sql語(yǔ)句、sql錯(cuò)誤信息以及web服務(wù)器的絕對(duì)路徑等

15、?ID/密碼驗(yàn)證方式中，同一個(gè)賬號(hào)在不同的機(jī)器上不能同時(shí)登錄

16、?ID/密碼驗(yàn)證方式中，連續(xù)數(shù)次輸入錯(cuò)誤密碼后該賬戶是否被鎖定

17、?新增或修改重要信息（密碼、身份證號(hào)碼、信用卡號(hào)等）時(shí)是否有自動(dòng)完成功能（在form標(biāo)簽中使用autocomplete=off來(lái)關(guān)閉自動(dòng)完成功能）

1、web平臺(tái)：web平臺(tái)軟件漏洞,包括Http底層服務(wù)軟件(比如，IIS或Apache)等底層基礎(chǔ)設(shè)施，以及應(yīng)用程序開(kāi)發(fā)框架(如Asp.Net或者PHP).

2、web應(yīng)用：對(duì)授權(quán)、認(rèn)證、站點(diǎn)結(jié)構(gòu)、輸入驗(yàn)證、程序邏輯以及管理接口進(jìn)行攻擊。

3、數(shù)據(jù)庫(kù)：通過(guò)數(shù)據(jù)庫(kù)查詢進(jìn)行特權(quán)命令，操縱查詢以返回額外的數(shù)據(jù)集，這里最具破壞性的攻擊是SQL注入。

4、web客戶端：活動(dòng)內(nèi)容執(zhí)行、客戶端軟件漏洞攻擊、跨站腳本錯(cuò)誤，以及釣魚欺騙

5、傳輸：竊聽(tīng)客戶-服務(wù)器通信，SSL重定向

6、可用性：如果要你迅速地指出更危險(xiǎn)的"黑客"技術(shù)，拒絕服務(wù)攻擊(denial of service,DoS)經(jīng)常會(huì)被遺漏，其實(shí)DoS攻擊是任何可公開(kāi)訪問(wèn)的Web應(yīng)用所面臨的最大威脅之一。讓任何資源都對(duì)公眾開(kāi)放本來(lái)就有很大的挑戰(zhàn)，在網(wǎng)絡(luò)世界中更是如此。

其中Open Web Application Security Project(owas)就是流行之一。

?推薦測(cè)試網(wǎng)站各項(xiàng)性能的免費(fèi)在線工具

你是否肯定你的網(wǎng)站完全兼容各大瀏覽器？是否知道多少秒可以打開(kāi)你的網(wǎng)站？是否可以自信地說(shuō)你的網(wǎng)站根本就沒(méi)有打不開(kāi)的時(shí)候？是否…… ?????????????

雖然它看似不重要，但這些在一定程度上也對(duì)你的網(wǎng)站的訪問(wèn)量產(chǎn)生了影響 （其它一部分影響瀏覽量的原因及解決辦法）。這里列出了一份31個(gè)我最喜愛(ài)的免費(fèi)在線測(cè)試工具，你可以通過(guò)這些工具來(lái)測(cè)試你的網(wǎng)站，并根據(jù)結(jié)果對(duì)你的網(wǎng)站進(jìn)行修改。 ?????????????

網(wǎng)站代碼驗(yàn)證沒(méi)人可以細(xì)致到保證自己的網(wǎng)站代碼都是正確的，你可以通過(guò)以下測(cè)試來(lái)驗(yàn)證網(wǎng)站代碼是否正確。 ?????????????

1 、WDG HTML Validator

一個(gè)很好的工具，能找出網(wǎng)站語(yǔ)法錯(cuò)誤的地方，并標(biāo)注出來(lái)，也可選擇對(duì)網(wǎng)站上單獨(dú)的每一頁(yè)進(jìn)行單頁(yè)分析。（強(qiáng)烈推薦） ? ?????????????

2 、 W3C Markup Validation Service

?對(duì) HTML 和 XHTML 都能進(jìn)行代碼測(cè)試，自稱是互聯(lián)網(wǎng)絡(luò)上第一個(gè)（也是使用者最多的）的 HTML 驗(yàn)證工具。 ? ????????????

3 、 W3C CSS Validation Service

用于驗(yàn)證 css 源代碼，能夠標(biāo)注出不好的 css 代碼設(shè)計(jì)。例如：“Same colors for color and background-color in two contexts”。 ? ?????????????

4 、 RUWF XML Syntax Checker

用于查找 XML 文件的錯(cuò)誤。 ? ?????????????

5 、 W3C Feed Validation Service

用于查找 Atom 和 RSS feed 中的錯(cuò)誤語(yǔ)法。 ? ?????????????

6 、 W3C Link Checker

用于搜尋查明你網(wǎng)站內(nèi)的所有鏈接里是否有斷鏈。（強(qiáng)烈推薦） ? ?????????????

7 、Juicy Studio Link Analyser

測(cè)試網(wǎng)站內(nèi)的鏈接的 URL 是否存在死鏈，與 W3C Link Checker 很類似。網(wǎng)站的使用性我們常常看到網(wǎng)站設(shè)計(jì)者把重點(diǎn)放在怎網(wǎng)站的吸引力上，而完全不考慮會(huì)不會(huì)影響來(lái)訪者的使用，一個(gè)瀏覽難度很大的網(wǎng)頁(yè)是注定要失敗，要讓你的來(lái)訪者方便的得到他要的信息（從而成為重復(fù)訪客），你的網(wǎng)站應(yīng)當(dāng)遵循 WCAG section 508 易用性規(guī)則。 ? ?????????????

8 、Watchfire WebXACT

所有嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)師和開(kāi)發(fā)者都必須使用的工具，它會(huì)生成一個(gè)非常詳盡的報(bào)告書，包括：網(wǎng)站質(zhì)量，易用性和隱私等。（強(qiáng)烈推薦） ? ?????????????

9 、 ATRC Web Accessibility Checker

測(cè)試網(wǎng)站的 WCAG 2.0 Level2 兼容性，它會(huì)生成一份報(bào)告，提出一系列建議，如：如何提升頁(yè)頭，鏈接，數(shù)據(jù)，圖表和文字的訪問(wèn)速度。 ? ?????????????

10 、WAVE 3.0 Web Accessibility Tool

高度可定制的工具，它采用了圖形化模型展示網(wǎng)站兼容性問(wèn)題（ WCAG 1.0 and section 508 ）。（強(qiáng)烈推薦） ? ?????????????

11 、TAW Web Accessibility Test

測(cè)試網(wǎng)頁(yè)是否存在沖突（ WCAG 1.0 兼容性 ），通過(guò)圖形模式生成一份依據(jù) wcag 優(yōu)先模式為基礎(chǔ)的網(wǎng)站修改建議。 ? ?????????????

12 、HiSoftware CynthiaSays portal

采用了非常嚴(yán)格的規(guī)則來(lái)測(cè)試網(wǎng)頁(yè)（ 根據(jù) section 508 和 WCAG 1.0 規(guī)則），生成的報(bào)告也極為詳細(xì)（詳細(xì)到很難看懂 ）。 ? ?????????????

13 、HERA Accessibility testing with Style?

使用一種極為復(fù)雜但容易理解方式指出網(wǎng)頁(yè)的 wcag1.0 兼容性問(wèn)題。 ? ?????????????

14 、Juicy Studio CSS Analyser

進(jìn)行了色彩對(duì)比測(cè)試，以確保你的網(wǎng)站的色調(diào)會(huì)符合 WCAG 1.0 的要求。 ? ?????????????

15 、Juiciy Studio Readability Test

分析你網(wǎng)站上的文字是否有語(yǔ)法錯(cuò)誤或拼寫錯(cuò)誤等問(wèn)題，容易讓人理解不（ 根據(jù) the Flesch Reading Ease 和 Flesch-Kincaid grade level algorithms 規(guī)則）。（適合英文網(wǎng)站使用）網(wǎng)站的速度打開(kāi)你的網(wǎng)站的速度快慢，是來(lái)訪者會(huì)不會(huì)再次訪問(wèn)網(wǎng)站的關(guān)鍵因素，在一般情況下，一個(gè)網(wǎng)絡(luò)不是很快的來(lái)訪者是不愿意訪問(wèn)一個(gè)充滿著圖片、 flash 動(dòng)畫、多媒體文件的網(wǎng)站。為了使你的網(wǎng)站覆蓋人群的范圍最大化，你必須優(yōu)化你的網(wǎng)站，使它的打開(kāi)速度盡可能的快。

?

下面的是追加: 有和上面重復(fù)的請(qǐng)忽略

網(wǎng)站代碼驗(yàn)證工具

1.?WDG HTML Validator?一個(gè)很好的工具，能找出網(wǎng)站語(yǔ)法錯(cuò)誤的地方，并標(biāo)注出來(lái)，也可選擇對(duì)網(wǎng)站上單獨(dú)的每一頁(yè)進(jìn)行單頁(yè)分析。（強(qiáng)烈推薦）
2.?W3C Markup Validation Service?對(duì) HTML 和 XHTML 都能進(jìn)行代碼測(cè)試，自稱是互聯(lián)網(wǎng)絡(luò)上第一個(gè)（也是使用者最多的）的 HTML 驗(yàn)證工具。（這個(gè)我也自己體驗(yàn)了下，可以校驗(yàn)html代碼 是否符合語(yǔ)法）
3.?W3C CSS Validation Service?用于驗(yàn)證 css 源代碼，能夠標(biāo)注出不好的 css 代碼設(shè)計(jì)。例如：“Same colors for color and background-color in two contexts”。

4.?RUWF XML Syntax Checker?用于查找 XML 文件的錯(cuò)誤。
5.?W3C Feed Validation Service?用于查找 Atom 和 RSS feed 中的錯(cuò)誤語(yǔ)法。（這個(gè)我經(jīng)常用到）
6.?W3C Link Checker?用于搜尋查明你網(wǎng)站內(nèi)的所有鏈接里是否有斷鏈。（強(qiáng)烈推薦）
7.?Juicy Studio Link Analyser?測(cè)試網(wǎng)站內(nèi)的鏈接的 URL 是否存在死鏈，與 W3C Link Checker 很類似。
網(wǎng)站的使用性工具
我們常常看到網(wǎng)站設(shè)計(jì)者把重點(diǎn)放在怎網(wǎng)站的吸引力上，而完全不考慮會(huì)不會(huì)影響來(lái)訪者的使用，一個(gè)瀏覽難度很大的網(wǎng)頁(yè)是注定要失敗，要讓你的來(lái)訪者方便的得到他要的信息（從而成為重復(fù)訪客），你的網(wǎng)站應(yīng)當(dāng)遵循 WCAG section 508 易用性規(guī)則。
8.?Watchfire WebXACT?所有嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)師和開(kāi)發(fā)者都必須使用的工具，它會(huì)生成一個(gè)非常詳盡的報(bào)告書，包括：網(wǎng)站質(zhì)量，易用性和隱私等。（強(qiáng)烈推薦）
9.?ATRC Web Accessibility Checker?測(cè)試網(wǎng)站的 WCAG 2.0 Level2 兼容性，它會(huì)生成一份報(bào)告，提出一系列建議，如：如何提升頁(yè)頭，鏈接，數(shù)據(jù)，圖表和文字的訪問(wèn)速度。
10.?WAVE 3.0 Web Accessibility Tool?高度可定制的工具，它采用了圖形化模型展示網(wǎng)站兼容性問(wèn)題（ WCAG 1.0 and section 508 ）。（強(qiáng)烈推薦）
11.?TAW Web Accessibility Test?測(cè)試網(wǎng)頁(yè)是否存在沖突（WCAG 1.0 兼容性），通過(guò)圖形模式生成一份依據(jù) wcag 優(yōu)先模式為基礎(chǔ)的網(wǎng)站修改建議。
12.?HiSoftware CynthiaSays portal?采用了非常嚴(yán)格的規(guī)則來(lái)測(cè)試網(wǎng)頁(yè)（根據(jù) section 508 和 WCAG 1.0 規(guī)則），生成的報(bào)告也極為詳細(xì)（詳細(xì)到很難看懂）。
13.?HERA Accessibility testing with Style?使用一種極為復(fù)雜但容易理解方式指出網(wǎng)頁(yè)的 wcag1.0 兼容性問(wèn)題。
14.?Juicy Studio CSS Analyser?進(jìn)行了色彩對(duì)比測(cè)試，以確保你的網(wǎng)站的色調(diào)會(huì)符合 WCAG 1.0 的要求。
15.?Juiciy Studio Readability Test?分析你網(wǎng)站上的文字是否有語(yǔ)法錯(cuò)誤或拼寫錯(cuò)誤等問(wèn)題，容易讓人理解不（根據(jù) the Flesch Reading Ease 和 Flesch-Kincaid grade level algorithms 規(guī)則）。（適合英文網(wǎng)站使用）
網(wǎng)站的速度
打開(kāi)你的網(wǎng)站的速度快慢，是來(lái)訪者會(huì)不會(huì)再次訪問(wèn)網(wǎng)站的關(guān)鍵因素，在一般情況下，一個(gè)網(wǎng)絡(luò)不是很快的來(lái)訪者是不愿意訪問(wèn)一個(gè)充滿著圖片、flash 動(dòng)畫、多媒體文件的網(wǎng)站。為了使你的網(wǎng)站覆蓋人群的范圍最大化，你必須優(yōu)化你的網(wǎng)站，使它的打開(kāi)速度盡可能的快。
16.?Web Page Analyzer from Website Optimization?一個(gè)很好的工具，它在分析完一個(gè)網(wǎng)頁(yè)后，會(huì)為減少加載時(shí)間提出優(yōu)化建議，著重優(yōu)化物體的數(shù)目，圖片和網(wǎng)站的總體大小。（強(qiáng)烈推薦）
17.?WebSitePulse Test Tools?有一系列的工具來(lái)確定網(wǎng)站的加載速度和主機(jī)信息。
18.?Internet Supervision Url Check?從世界各地不同的服務(wù)器來(lái)測(cè)試你的網(wǎng)站的加載時(shí)間，用于確定是不是各地的來(lái)訪者都能順利快速的打開(kāi)你得網(wǎng)站。
瀏覽器模擬工具
這是一個(gè)普遍的問(wèn)題，因?yàn)楝F(xiàn)在有著很多的操作系統(tǒng)和瀏覽器，你得網(wǎng)站必須得兼容它們，但這絕不是一件容易的事。通過(guò)下列工具，你可以了解你得網(wǎng)站在各種瀏覽器上的顯示效果。
19.?Browsershots?能給出你的網(wǎng)站在不同瀏覽器下顯示效果的截圖，包括：Firefox 和 Internet Explorer （ Windows ）、Firefox 和 Safari （ Mac OS X ）、Iceweasal 和 Konqueror （ Linux ），但是結(jié)果要在 1 - 3 小時(shí)后才能出來(lái)。
20.?IE NetRenderer?實(shí)時(shí)生成你的網(wǎng)站在 Internet Explorer 5.5 、6.0 和 7.0 下的截圖。
21.?MobiReady Report?分析使用手機(jī)訪問(wèn)網(wǎng)頁(yè)的兼容性問(wèn)題，會(huì)生成一份詳細(xì)的報(bào)告，并提供了在兩種不同類型的手機(jī)瀏覽器上你得網(wǎng)站可能顯示的樣子。
搜索引擎優(yōu)化(SEO)
一個(gè)網(wǎng)站，如果對(duì)搜索引擎有著比較好的友好度，一定會(huì)比較有競(jìng)爭(zhēng)力。
22.?UrlTrends?會(huì)顯示網(wǎng)站的訪客是如何通過(guò)搜索引擎來(lái)到你的網(wǎng)站，還有各個(gè)流量是多少。這些數(shù)據(jù)是包括 Google, Yahoo, MSN, Alexa, AlltheWeb, AltaVista 和其他一些網(wǎng)站。（強(qiáng)烈推薦）
23.?iWEBTOOL Backlink Checker?一個(gè)很好的工具，它能找出有什么站點(diǎn)鏈接到你的站點(diǎn)，那些站點(diǎn)是什么類型的站點(diǎn)。
24.?iWEBTOOL Multi-Rank Checker?顯示你網(wǎng)站的 Alexa 和 Google PageRank 數(shù)值。
25.?Microsoft adCenter Labs: Advertising and Keyword Research Tools?一個(gè)極好的工具，用于分析和預(yù)測(cè)你網(wǎng)站的來(lái)訪者和市場(chǎng)。（強(qiáng)烈推薦）
26.?Domain Tools Whois lookup?一個(gè) WHOIS 網(wǎng)絡(luò)工具。
27.?SEO-Browser?可以讓你看到在搜索引擎眼里一樣的網(wǎng)站（去掉所有的”美麗”配件）。
28.?SEO Workers SEO Analysis Tool?非常有用的工具，分析了網(wǎng)站上的各種分類特征，包括 meta 標(biāo)簽、關(guān)鍵字密度及加載時(shí)間。（強(qiáng)烈推薦）
29.?Seekport Seekbot?可以分析網(wǎng)站的數(shù)據(jù)和內(nèi)容，以得出搜索引擎會(huì)如何有效的解釋分析的網(wǎng)站。
30.?SEO Chat SEO Tools?用以分析網(wǎng)站 Google adsense 盈利潛力，關(guān)鍵字密度，Meta tag 等等……
31.?Marketleap Search Engine Marketing Tools?用來(lái)分析網(wǎng)頁(yè)，讓你知道你的網(wǎng)站檢索、設(shè)定的關(guān)鍵字好不好。

轉(zhuǎn)載于:https://www.cnblogs.com/kaibindirver/p/8309557.html

總結(jié)

以上是生活随笔為你收集整理的如何进行网站的安全测试的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。