建立整体的威胁模型测试溢出漏洞、信息泄漏、错误处理、注入、身份验证和授权错误.

同个浏览器打开两个页面，一个页面权限失效后另一个页面是否可操作成功。

當页面没有CHECKCODE时查看页面源代码，查是是否有token如果页面完全是展示页面，是不会有token的

只从用户名和密码角度写了几个要考虑的测试点，如果需求中明确规定了安全问题Email，出生日期地址，性别等等一系列的格式和字符要求那就都要写用例测了~

以等价类划分和边界值法来分析

1.填写符合要求的数据注册：用户名字和密码都为最大长度（边界值分析，取上点）

2.填写符合要求的数据注册：用户名字和密码都為最小长度（边界值分析取上点）

3.填写符合要求的数据注册：用户名字和密码都是非最大和最小长度的数据（边界值分析，取内点）

4.必填项分别为空注册

5.用户名长度大于要求注册1位（边界值分析取离点）

6.用户名长度小于要求注册1位（边界值分析，取离点）

7.密码长度大于偠求注册1位（边界值分析取离点）

8.密码长度小于要求注册1位（边界值分析，取离点）

9.用户名是不符合要求的字符注册（这个可以划分几個无效的等价类一般写一两个就行了，如含有空格#等，看需求是否允许吧~）

10.密码是不符合要求的字符注册（这个可以划分几个无效的等价类一般写一两个就行了）

11.两次输入密码不一致（如果注册时候要输入两次密码，那么这个是必须的）

12.重新注册存在的用户

13.改变存在嘚用户的用户名和密码的大小写来注册。（有的需求是区分大小写有的不区分）

14.看是否支持tap和enter键等；密码是否可以复制粘贴；密码是否以*之类的加秘符号显示

备注：边界值的上点、内点和离点大家应该都知道吧，呵呵这里我就不细说了~~

当然具体情况具体分析哈~不能一概而论~

实际测试中可能只用到其中几条而已，比如银行卡密码的修改就不用考虑英文和非法字符，更不用考虑那些ＴＡＰ之类的快捷键而有的需要根据需求具体分析了，比如连续出错多少次出现的提示和一些软件修改密码要求一定时间内有一定的修改次数限制等等。

1.鈈输入旧密码直接改密码

5.新密码和确认新密码不一致

8.新密码为符合要求的最多字符

9.新密码为符合要求的最少字符

10.新密码为符合要求的非朂多和最少字符

11.新密码为最多字符-1

12.新密码为最少字符+1

13.新密码为最多字符+1

14.新密码为最少字符-1

15.新密码为非允许字符（如有的密码要求必须是英攵和数字组成，那么要试汉字和符号等）

16.看是否支持tap和enter键等；密码是否可以复制粘贴；密码是否以*之类的加秘符号

17.看密码是否区分大小写新密码中英文小写，确认密码中英文大写

18.新密码与旧密码一样能否修改成功

另外一些其他的想法如下：

1要测试所有规约中约定可以输入嘚特殊字符字母，和数字要求都可以正常输入、显示正常和添加成功

2关注规约中的各种限制，比如长度大否支持大小写。

3考虑各种特殊情况比如添加同名用户，系统是否正确校验给出提示信息管理员帐户是否可以删除，因为有些系统管理员拥有最大权限一旦删除管理员帐户，就不能在前台添加这给最终用户会带来很多麻烦。比较特殊的是当用户名中包括了特殊字符，那么对这类用户名的添加同名修改，删除系统是否能够正确实现，我就遇到了一个系统添加同名用户时，如果以前的用户名没有特殊字符系统可以给出提示信息，如果以前的用户名包含特殊字符就不校验在插入数据库的时候报错。后来查到原因了原来是在java中拼SQL语句的时候，因为有"_"所以就调用了一个方法在“_”，前面加了一个转义字符后来发现不该调用这个方法。所以去掉就好了所以对待输入框中的特殊字符要哆关注。

4数值上的长度之类的包括出错信息是否合理

6注入式bug：比如密码输入个or 1=1

7登录后是否会用明文传递参数

8访问控制（不知道这个算不算）：登录后保存里面的链接，关了浏览器直接复制链接看能不能访问

　　1．验证输入与输出的是否信息一致；

　　2．输入框之前的标題是否正确；

　　3．对特殊字符的处理，尤其是输入信息徐需要发送到数据库的特殊字符包括：'（单引号）、"（双引号）、[]（中括号）、()（小括号）、{}（大括号）、;（分号）、<>（大于小于号）……

　　4．对输入框输入超过限制的字符的处理，一般非特殊的没有作出限制的茬255byte左右；

　　5．输入框本身的大小、长度；

　　6．不同内码的字符的输入；

　　7．对空格、TAB字符的处理机制；

　　8．字符本身显示的颜色；

　　9．密码输入窗口转换成星号或其它符号；

　　10．密码输入框对其中的信息进行加密防止采用破解星号的方法破解；

　　11．按下ctrl和alt鍵对输入框的影响；

　　12．对于新增、修改、注册时用的输入框，有限制的应该输入时作出提示，指出不允许的或者标出允许的；

　　13．对于有约束条件要求的输入框应当在条件满足时输入框的状态发生相应的改变比如选了湖南就应该列出湖南下面的市，或者选了某些條件之后一些输入框会关闭或转为只读状态；

　　14．输入类型；根据前面的栏位标题判断该输入框应该输入哪些内容算是合理的。例如是否允许输入数字或字母，不允许输入其他字符等

　　15.输入长度；数据库字段有长度定义，当输入过长时提交数据是否会出错。

　　16.输入状态；当处于某种状态下输入框是否处于可写或非可写状态。例如系统自动给予的编号等栏位作为唯一标识，当再次处于编辑狀态下输入框栏位应处于不可写状态，如果可写对其编辑的话可能会造成数据重复引起冲突等。

　　17．如果是会进行数据库操作的输叺框还可以考虑输入SQL中的一些特殊符号如单引号等,有时会有意想不到的错误出现

　　18．输入类型输入长度是否允许复制粘贴为空的情况涳格的考虑
半角全角测试对于密码输入框要考虑显示的内容是*  输入错误时的提示信息及提示信息是否准确

　　19．可以先了解你要测试的输叺框在软件系统的某个功能中所扮演的角色，然后了解其具体的输入条件在将输入条件按照有效等价类，无效等价类边界值等方法进荇测试用例的设计。

　　20．关键字有大小写混合的情况；

　　21．关键字中含有一个或多个空格的情况包括前空格，中间空格（多个关键芓）和后空格；

　　22．关键字中是否支持通配符的情况（视功能而定）；

　　23．关键字的长度分别为9、10、11个字符时的情况；

　　24．关键芓是valid，但是没有匹配搜索结果的情况；

　　25．输入html的标签会出现哪些问题输入<html>会出现什么问题呢？(这条是我自己发现的在网上也没找箌类似的东东，呵呵大家凑合着看吧)

　　给出一些特别的关键字，比如 or 1=1,这样的关键字如果不被处理就直接用到数据库查询中去后果可想而知。

我登录失败的时候没有任何提示这没什么，反正提示也只是说失败…

进去后发现颜色变更很强烈刺得我一眨眼不过多看几次僦习惯了。

点击某个链接的时候出现错误页面刷新后就好了，难道是随机错误

保存文字的时候没有成功提示，不过能成功保存就算了

浏览记录的时候竟然出现错误页面，原来我没有选记录就浏览了我自己操作不规范嘛。

删除记录的时候发现选错了想取消的时候却提示删除成功，都没有确认提示只能下次看仔细点了。

查询时字母键被茶杯压住了多输了点字符竟然出现错误页面，下次把东西整理恏

无聊随便点点几个链接，竟然没有反应既然不用，那就不要做出来嘛

看看自己上传的图片效果如何，这个怎么不显示多试几次發现名字不包含中文就好了，下次注意下

改改字体字号颜色美化环境嘛，怎么格式那里不显示正确的字体字号呢将就用吧。

这里的记錄条数怎么这么多啊原来是没有删除按钮，看来下次不能随便加了

这个结束时间怎么在开始时间前啊？原来没有进行控制下面的人執行时……还是自己改过来吧。

上次我在这里看见的图片呢刷新后就出来了，怎么和我玩捉迷藏呢

多输了点内容，保存时候提示太多叻点确定后发现被清空了，我一个小时的工作啊！

这张图片真不错但是按钮呢，按钮呢按钮被挤掉了我怎么编辑啊。

听说F5是刷新点┅下看看怎么好像变成了登录界面？

刚学了怎么用TAB键确实很方便。TAB一下跑哪去了，怎么一片空白啊？

玩游戏的人点击速度那么赽，我也来试试怎么一双击就出错了？

我找错别字是很厉害的这不就发现“同意”写成了“统一”。

这里提示只能输入1－100我偏要输叺9999……保存看看，怎么系统不能用了

这里一点击就出现IE错误，硬是不弹出我需要的窗口

这个查询按钮怎么灰掉了？这么多记录让我一頁一页翻过去找啊

上传第二个附件的时候怎么把第一个挤掉了啊，会挤掉也要提示一下嘛

一个页面上打开的记录太多了，变体都用…渻略了要是鼠标放上去浮动显示完整标题就方便多了。

这几条记录有依存关系你删了对方对方没删你一条其他就没了，提示都没有早知道我就用编辑了……

这条记录怎么好像是昨天的，我记得今天更新了啊原来编辑后的记录没有传到引用的地方。

最最奇怪的是昨天仩传时候正常的图片今天就不能显示了我记得没有只能显示一天的功能啊？？

这里怎么没有任何按钮呢看手册才知道竟然要用右键進行操作，怎么突然冒出个异类啊？

这里怎么能增加两条相同的记录呢？不控制一下天知道手下那些愣头青会做出什么来

这里的菜單一层一层又一层，足足有五层把我头都绕晕了……我记得哪里说过最好不要超过三层的。

这个界面看起来怎么这么别扭啊是字体太夶了，是按钮太小了还是功能太多了，……

怎么不是管理员登录进来也能管理啊那我这个管理员的身份不是多此一举吗？

删除的时候提示Error幸亏我英语水平好，可是你换成中文不行吗

这条记录不是删除了吗，怎么还能引用啊到时候出错了怎么办，难道还要我记住你刪了对方对方没删你那些记录

经过精心编辑，我发了一条通知怎么用普通用户查看的时候是默认的字体字号啊？？

这几个页面上的當前日期怎么是固定不变的啊这都是去年的日期了，不会是开发时候的吧

让Web站点崩溃最常见的七大原因

　　磁盘已满　　　导致系统無法正常运行的最可能的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况隔一定的时间，就需要将磁盘上的一些负载轉存到备份存储介质中（例如磁带）　　日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQL*Net的日志文件、JDBC日志文件以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中日志文件系统空间已满時Web服务器也会被挂起，但机器自身被挂起的几率已大大减低
　　C指针错误　　用C或C++编写的程序，如Web服务器API模块有可能导致系统的崩溃，因为只要间接引用指针（即访问指向的内存）中出现一个错误，就会导致操作系统终止所有程序另外，使用了糟糕的C指针的Java模拟量（analog）将访问一个空的对象引用Java中的空引用通常不会导致立刻退出JVM，但是前提是程序员能够使用异常处理方法恰当地处理错误在这方面，Java无需过多的关注但使用 Java对可靠性进行额外的度量则会对性能产生一些负面影响。　　内存泄漏　　C/C++程序还可能产生另一个指针问题：丟失对已分配内存的引用当内存是在子程序中被分配时，通常会出现这种问题其结果是程序从子程序中返回时不会释放内存。如此一來对已分配的内存的引用就会丢失，只要操作系统还在运行中则进程就会一直使用该内存。这样的结果是曾占用更多的内存的程序會降低系统性能，直到机器完全停止工作才会完全清空内存。
　　解决方案之一是使用代码分析工具（如Purify）对代码进行仔细分析以找絀可能出现的泄漏问题。但这种方法无法找到由其他原因引起的库中的泄漏因为库的源代码是不可用的。另一种方法是每隔一段时间僦清除并重启进程。Apache的Web服务器就会因这个原因创建和清除子进程
　　虽然Java本身并无指针，但总的说来与C程序相比， Java程序使用内存的情況更加糟糕在Java中，对象被频繁创建而直到所有到对象的引用都消失时，垃圾回收程序才会释放内存即使运行了垃圾回收程序，也只會将内存还给虚拟机VM而不是还给操作系统。结果是：Java程序会用光给它们的所有堆从不释放。由于要保存实时（Just TimeJIT）编译器产生的代码，Java程序的大小有时可能会膨胀为最大堆的数倍之巨　　还有一个问题，情况与此类似从连接池分配一个数据库连接，而无法将已分配嘚连接还回给连接池一些连接池有活动计时器，在维持一段时间的静止状态之后计时器会释放掉数据库连接，但这不足以缓解糟糕的玳码快速泄漏数据库连接所造成的资源浪费
　　进程缺乏文件描述符　　如果已为一台Web服务器或其他关键进程分配了文件描述符，但它卻需要更多的文件描述符则服务器或进程会被挂起或报错，直至得到了所需的文件描述符为止文件描述符用来保持对开放文件和开放套接字的跟踪记录，开放文件和开放套接字是Web服务器很关键的组成部分其任务是将文件复制到网络连接。默认时大多数shell有64个文件描述苻，这意味着每个从shell启动的进程可以同时打开64个文件和网络连接大多数shell都有一个内嵌的 ulimit命令可以增加文件描述符的数目。　　线程死锁　　由多线程带来的性能改善是以可靠性为代价的主要是因为这样有可能产生线程死锁。线程死锁时第一个线程等待第二个线程释放資源，而同时第二个线程又在等待第一个线程释放资源我们来想像这样一种情形：在人行道上两个人迎面相遇，为了给对方让道两人哃时向一侧迈出一步，双方无法通过又同时向另一侧迈出一步，这样还是无法通过双方都以同样的迈步方式堵住了对方的去路。假设這种情况一直持续下去这样就不难理解为何会发生死锁现象了。
　　解决死锁没有简单的方法这是因为使线程产生这种问题是很具体嘚情况，而且往往有很高的负载大多数软件测试产生不了足够多的负载，所以不可能暴露所有的线程错误在每一种使用线程的语言中嘟存在线程死锁问题。由于使用Java进行线程编程比使用C容易所以 Java程序员中使用线程的人数更多，线程死锁也就越来越普遍了可以在Java代码Φ增加同步关键字的使用，这样可以减少死锁但这样做也会影响性能。如果负载过重数据库内部也有可能发生死锁。　　如果程序使鼡了永久锁比如锁文件，而且程序结束时没有解除锁状态则其他进程可能无法使用这种类型的锁，既不能上锁也不能解除锁。这会進一步导致系统不能正常工作这时必须手动地解锁。
Web服务器会在线程用完后挂起而不为已存在的连接提供任何服务。如果有一种负载汾布机制可以检测到服务器没有响应则该服务器上的负载就可以分布到其它的 Web服务器上，这可能会致使这些服务器一个接一个地用光所囿的线程这样一来，整个服务器组都会被挂起操作系统级别可能还在不断地接收新的连接，而应用程序（Web服务器）却无法为这些连接提供服务用户可以在浏览器状态行上看到connected（已连接）的提示消息，但这以后什么也不会发生
　解决问题的一种方法是将obj.conf参数RqThrottle的值设置為线程数目之下的某个数值，这样如果越过 RqThrottle的值就不会接收新的连接。那些不能连接的服务器将会停止工作而连接上的服务器的响应速度则会变慢，但至少已连接的服务器不会被挂起这时，文件描述符至少应当被设置为与线程的数目相同的数值否则，文件描述符将荿为一个瓶颈　　数据库中的临时表不够用
　　许多数据库的临时表（cursor）数目都是固定的，临时表即保留查询结果的内存区域在临时表中的数据都被读取后，临时表便会被释放但大量同时进行的查询可能耗尽数目固定的所有临时表。这时其他的查询就需要列队等候，直到有临时表被释放时才能再继续运行　　这是一个不容易被程序员发觉的问题，但会在负载测试时显露出来但可能对于数据库管悝员（DataBase Administrator，DBA）来说这个问题十分明显。　　此外还存在一些其他问题：设置的表空间不够用、序号限制太低，这些都会导致表溢出错误这些问题表明了一个好的DBA对用于生产的数据库设置和性能进行定期检查的重要性。而且大多数数据库厂商也提供了监控和建模工具以幫助解决这些问题。
　　另外还有许多因素也极有可能导致Web站点无法工作。如：相关性、子网流量超载、糟糕的设备驱动程序、硬件故障、包括错误文件的通配符、无意间锁住了关键的表

一个完整的体系可以从部署与基础结构，输入验证身份验证，授权，敏感会話管理，加密参数操作，异常管理审核和记录等几个方面入手

5];J5e A_ g+`0数据加密：某些数据需要进行信息加密和过滤后才能进行数据传输，例洳用户信用卡信息、用户登陆密码信息等此时需要进行相应的操作，如存储到、解密发送要用户电子邮箱或者客户浏览器目前的加密算法越来越多，越来越复杂但一般数据加密的时可逆的，也就是说能进行加密同时需要能进行解密！
i$`d+Nv0登录：一般的站点都会登录或者紸册后使用的方式，因此必须对用户名和匹配的密码进行校验，以阻止非法用户登录在进行登陆测试的时候，需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制最多可以尝试多少次登录，哪些页面或者文件需要登录后才能访问/下载等51Testing软件测试网-S

超时限淛：WEB应用系统需要有是否超时的限制，当用户长时间不作任何操作的时候需要重新登录才能使用其功能。0x|^OKw E/P051Testing软件测试网ubeec2B9K

日志文件：在服务器上，要验证服务器的日志是否正常工作例如CPU的占用率是否很高，是否有例外的进程占用所以的事务处理是否被记录等。'N;t?%HdN wa q._0

WEB应用安全的增强只有两种解决途径“黑箱子”和“白盒子”安全测试。51Testing软件测试网b t P {R] ^

所谓“黑箱子”安全测试昰指目标测试网站已经正常投入使用的情况下采用不影响业务正常运转的技术手段进行远程测试，通过模拟黑客的惯用入侵伎俩和手法测试目标WEB系统在真实的不法攻击压力下的安全性。;D4T9\Hez~0所谓“白盒子”安全测试方法是指在目标网站还处于阶段的时侯进行基于安全编码規则的源级别测试。这种测试方法所需要的代价很高通常需要精通WEB系统安全的安全编码专家带领程序员对整个系统源代码进行阅读和纠錯，增加安全代码以使得“黑箱子”安全测试得到安全的结论

所以，确保网上银行WEB系统应用程序的安全不是一件简单的事而不幸的是對WEB应用程序的攻击是非常容易的。从信息安全的层面黑客针对WEB的攻击可以达到从窃取产品和敏感信息到使整个WEB站点甚至后台核心数据库垺务器完全瘫痪。y2M2Y g-i0一个黑客通常都会花上几个小时来熟悉他企图突破的WEB应用程序他会象编制这一套程序的程序员那样思考程序的和编码，然后找出编程时留下的漏洞然后通过浏览器恶意地与应用程序以及数据库进行交互，造成或大或小的损害要防止这些问题，公司必須预先找出网站的弱点然后关闭有可能被黑客可利用的缝隙

用户接口代码：这是WEB应鼡的表示层它创建了站点的可视界面，是联系客户端以及WEB服务器的接口部分通常采用HTML、、Javascrīpt、ActiveX、VB以及其他第三方方式。H"fw!xk6z0WEB服务器：WEB服务器用来支持用户浏览器和WEB应用之间的正常通信它负责处理HTTP请求/响应消息、管理用户会话。几乎所有的WEB站点都采用第三方厂商的WEB服务器产品例如IIS、iPlanet、Apache等。

数据库系统：WEB站点通常会采用第三方数据库软件，包括、Oracle、DB2等-THx+|GyEN0一个如此复杂的WEB系统，其安全保护机制也应该是多层次全方位的这是因为构成WEB系统的每一个环节都可能存在脆弱性并由此引入风险，所以每个環节都需要相应的安全控制例如在WEB应用的用户接口代码中对一些违犯语法规则的数据进行过滤，在前端系统和后台系统中对异常内容进荇校验不过，我们也看到尽管多数WEB应用都采用了这样那样的安全控制措施，但由于其本身构成的复杂多样出现某些漏洞也在所难免。

那么，怎样才能解决这一问题呢&? V|z)h#e)n0为了进行囿效的WEB安全性审计，除了用传统的扫描器进行初步检测之外更多时候，还得依靠技术高超的安全专家手工检测目标系统的安全性。手笁分析的方法通常包括三个阶段：分析、测试和报告在分析阶段，测试人员需要对整个WEB应用系统的结构深入了解对每一处牵涉到客户端数据处理的网页内容进行分析，并对与数据库操作相关的部分进行检查当然，所有的分析工作都是以一个普通用户的身份，通过正瑺的WEB访问过程来进行的测试人员一旦在分析阶段发现了问题（例如某些网页表单存在隐患，某些网页交互功能不健全）就要在测试阶段对这些问题进行实际验证，通过构造各种复杂的测试代码（实际上就是构造客户端提交的表单信息或CGI参数）攫取WEB应用返回的响应消息，从中判断问题存在与否最终，测试人员会对测试结果进行综合分析汇总之后提交测试报告。51Testing软件测试网LImS+UUs.o

上述过程不难给我们一些启發：WEB安全评估不应该只是简单地以已知漏洞库为核心来进行操作而应该和WEB应用系统实际的操作内容及功能结合起来，进行更深入更智能嘚分析实际上，就是把人工测试的过程fLI[ f l0基于以上，新型实用的WEB应用安全评估系统具有以下特点：51Testing软件测试网"^F%~"k r&l

能够遍历整个WEB系统的拓扑結构从中找到所有可浏览和可交互的页面；[3RLQ}0能够对所有可浏览页面进行内容检索和分析，从中找到所有与客户端/服务器交互相关的动态內容（例如表单）；51Testing软件测试网0a2Edk%u~

能够对响应消息进行内容分析结合状态码，判断测试结果；VIZ}jx[0数据库的设计将不仅仅是一个保存已知漏洞特征的漏洞库而是结合了普遍攻击手段描述内容的专家库，这种专家库可以方便地进行扩充；

[i4R#v1b1@*G3\0　　目前做人员可能对安全性测试了解不够测试结果不是很好。如果经验不足测试过程中可以采用一些较专业的web安铨测试工具，如WebInspect、Acunetix.Web.Vulerability.Scanner等不过自动化web安全测试的最大缺陷就是误报太多，需要认为审核测试结果对报告进行逐项手工检测核对。51Testing软件测试網N!e/b_s$X6[
8i!C!K8zJ/B_g0　　对于web安全的测试用例可以参照top 10来写，如果写一个详细的测试用例还是比较麻烦的，建议采用安全界常用的web渗透报告结合top10来写就鈳以了51Testing软件测试网n;kz m9Oi
NUpL%n] W!u0　　现在有专门做系统和网站安全检测的公司，那里做安全检测的人的技术都很好大多都是红客。51Testing软件测试网WfigJgw

　　洅补充点网站即使站点不接受信用卡支付，安全问题也是非常重要的Web 站点收集的用户资料只能在公司内部使用。如果用户信息被黑客泄露客户在进行交易时，就不会有安全感51Testing软件测试网 hR){BU"WO;W

　　Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面这样就不会显礻该目录下的所有内容。我服务的一个公司没有执行这条规则我选中一幅图片，单击鼠标右键找到该图片所在的路径"…com/objects/images".然后在浏览器哋址栏中手工输入该路径，发现该站点所有图片的列表这可能没什么关系。我进入下一级目录 "…com/objects" 点击 jackpot.在该目录下有很多资料，其中引起我注意的是已过期页面该公司每个月都要更改产品价格，并且保存过期页面我翻看了一下这些记录，就可以估计他们的边际利润以忣他们为了争取一个合同还有多大的降价空间如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风　

　　很多站點使用 SSL 进行安全传送。你知道你进入一个 SSL 站点是因为浏览器出现了警告消息而且在地址栏中的 HTTP 变成 HTTPS.如果开发部门使用了SSL，测试人员需要確定是否有相应的替代页面（适用于3.0 以下版本的浏览器这些浏览器不支持SSL.当用户进入或离开安全站点的时候，请确认有相应的提示信息是否有连接时间限制？超过限制时间后出现什么情况51Testing软件测试网W+^6Gr4q{.}2FV

&x)`ql%cq0　　有些站点需要用户进行登录，以验证他们的身份这样对用户是方便的，他们不需要每次都输入个人资料你需要验证系统阻止非法的用户名/口令登录，而能够通过有效登录用户登录是否有次数限制？ 是否限制从某些 IP 地址登录 如果允许登录失败的次数为3，你在第三次登录的时候输入正确的用户名和口令能通过验证吗？ 口令选择有規则限制吗51Testing软件测试网9P

　　在后台，要注意验证日志工作正常日志是否记所有的事务处理？ 是否记录失败的注册企图 是否记录被盗信用卡的使用？ 是否在每次事务完成的时候都进行保存 记录IP 地址吗？ 记录用户名吗
,v `3J2`RJ0　　脚本语言脚本语言是常见的安全隐患。每种语訁的细节有所不同有些脚本允许访问根目录。其他只允许访问邮件但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用

1.数据验证流程：一个好的web系统应该在IE端server端，DB端都应该进行验证但有不少程序偷工减料，scrīpt验证完了就不管了；app server对数据長度和类型的验证与db server的不一样，这些都会引发问题有兴趣的可参看一下scrīpt代码，设计一些case这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的scrīpt代码然后提交了一个form，引发了一个系统的重大漏洞后门
&ua0}"Yg%cC!|02. 数据验证类型： 如果web server端提交语句时不对提交的sql语句驗证，那么一个黑客就可暗喜了他可将提交的sql语句分割，后面加一个delete all或drop database的之类语句能将你的数据库内容删个精光！我这一招还没实验茬internet网站上，不知这样的网站有没有有多少个。反正我负责的那个web系统曾经发现这样的问题51Testing软件测试网QG*T*w"qh
3. 网络加密，数据库加密不用说了吧

LcN*wC(_0对文件操作相关的模块的漏洞在测试

}-}:ia Q0这是我在测试过程中所最常碰到的BUG也是最广泛存在的。由于本人水平有限有错漏之处请指出，戓者大家对WEB的安全性测试有什么心得

数据类型（字符串整型，实数等）51Testing软件测试网[3lBD$_'W;a`

"QsMd6L'jzO0主要用于需要验证用户身份以及权限的页面，复制該页面的url地址关闭该页面以后，查看是否可以直接进入该复制好的地址51Testing软件测试网&VPw{v!J3^
例：从一个页面链到另一个页面的间隙可以看到URL地址
X&}pO j(^'@O0矗接输入该地址可以看到自己没有权限的页面信息，

分析：攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序最终使程序陷入瘫痪。需要做负载均衡来对付

程序员应该作的： 配置所有的安全机制，关掉所有不使用的服务设置角色权限帐号，使用日志和警報

@&q;JL"v8r3LG0分析：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中攻击者可以让web应用程序来执行任意代码。

分析：程序在抛出异常的时候给出了比较详细的内部错误信息暴露了不应该显示的执行细节，网站存在潜在漏洞

+w]%kUP@t i)R9e0分析：帐号列表：系统不應该允许用户浏览到网站所有的帐号，如果必须要一个用户列表推荐使用某种形式的假名（屏幕名）来指向实际的帐号。

浏览器缓存：認证和会话数据不应该作为GET的一部分来发送应该使用POST，

4ORF \2m:qC0分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户窃取他机器上的任意资料51Testing软件测试网P!dj}B8j