安全性测试包括很多方面,安全性测试的工具又有很多,其中以AppScan最为全面,他几乎涵盖了所有安全测试的问题,并且能够生成一个安全测试报告。
以用户登录为例,安全测试需要注意哪些方面:
密码问题:
验证储存在后台的用户密码是否加密。验证用户密码在网络中传输是否加密。验证用户面是否具有时效性,到期后是否提示用户更改密码。验证密码输入框是否支持复制和粘贴验证用户密码用户登录:
没有登陆的前提之下,在浏览器的地址栏中直接输入登录后的URL地址,判断一下是否跳转到用户登录界面。当密码输入框中,输入用户密码后,能否在页面源码模式下查看。同一个用户已经登录后,在其他PC端或手机登录之后,是否互斥。同一用户在多台终端的浏览器上登录,验证登录的互斥性。验证同一用户多次登录失败情况下,验证系统是否会组织后续的登录以应对暴力破解密码。用户攻击:
用户名和密码输入框中输入“SQL注入攻击”字符串,验证系统返回页面用户名和密码输入框中输入“跨站脚本攻击”字符串,验证系统的行为是否被篡改。