web安全測試包括哪些內容，web測試的主要測試點

很多朋友對于web安全測試包括哪些內容和web測試的主要測試點不太懂，今天就由小編來為大家分享，希望可以幫助到大家，下面一起來看看吧！

安全測試一般涉及到哪些驗證點

安全性測試(SecurityTesting)是指有關驗證應用程序的安全等級和識別潛在安全性缺陷的過程，其主要目的是查找軟件自身程序設計中存在的安全隱患，并檢查應用程序對非法侵入的防范能力，安全指標不同，測試策略也不同。但安全是相對的，安全性測試并不能最終證明應用程序是安全的，而只能驗證所設立策略的有效性，這些對策是基于威脅分析階段所做的假設而選擇的。例如，測試應用軟件在防止非授權的內部或外部用戶的訪問或故意破壞等情況時的運作。軟件安全是軟件領域中一個重要的子領域，系統安全性測試包括應用程序和操作系統兩個方面的安全性。而系統安全性又包括兩個方面的測試：一是軟件漏洞，設計上的缺陷或程序問題;二是數據庫的安全性，這也是系統安全性的核心。安全測試的常用方法有以下幾種： (1)靜態代碼檢查靜態代碼檢查主要是通過代碼走讀的方式對源代碼的安全性進行測試，常用的代碼檢查方法有數據流、控制流、信息流等，通過這些測試方法與安全規則庫進行匹配，進而發現潛在的安全漏洞。靜態代碼檢查方法主要是在編碼階段進行測試，盡可能早地發現安全性問題。 (2)動態滲透測試動態滲透測試法主要是借助工具或手工來模擬黑客的輸入，對應用程序進行安全性測試，進而發現系統中的安全性問題。動態滲透測試一般在系統測試階段進行，但覆蓋率較低，因為在測試過程中很難覆蓋到所有的可能性，只能是盡量提供更多的測試數據來達到較高的覆蓋率。 (3)掃描程序中的數據系統的安全性強調，在程序運行過程中數據必須是安全的，不能遭到破壞，否則會導致緩沖區溢出的攻擊。數據掃描主要是對內存進行測試，盡量發現諸如緩沖區溢出之類的漏洞，這也是靜態代碼檢查和動態滲透測試很難測試到的。從用戶認證、網絡、數據庫和Web四個角度進行安全性測試，需要注意以下幾個方面： (1)用戶認證安全性測試 1)系統中不同用戶權限設置; 2)系統中用戶是否出現沖突; 3)系統不應該因用戶權限改變而造成混亂; 4)系統用戶密碼是否加密、是否可復制; 5)是否可以通過絕對途徑登錄系統; 6)用戶退出后是否刪除其登錄時的相關信息; 7)是否可以使用退出鍵而不通過輸入口令進入系統。 (2)網絡安全性測試 1)防護措施是否正確裝配完成，系統補丁是否正確; 2)非授權攻擊，檢查防護策略的正確性; 3)采用網絡漏洞工具檢查系統相關漏洞(常用的兩款工具為NBSI和IPhackerIP); 4)采集木馬工具，檢查木馬情況; 5)采用各種防外掛工具檢查程序外掛漏洞。 (3)數據庫安全性測試 1)數據庫是否具備備份和恢復的功能; 2)是否對數據進行加密; 3)是否有安全日志文件; 4)無關IP禁止訪問; 5)用戶密碼使用強口令; 6)不同用戶賦予不同權限; 7)是否使用視圖和存儲過程; (4)Web安全性測試 1)部署與基礎結構; 2)輸入驗證; 3)身份驗證; 4)授權; 5)配置管理; 6)敏感數據; 7)會話管理; 8)加密; 9)參數操作; 10)異常管理; 11)審核和日志記錄;