什麼是web安全性測試？

一個完整的Web安全體系測試可以從部署與基礎結構，輸入驗證，身份驗證，授權，配置管理，敏感資料，會話管理，加密，引數操作，異常管理，稽核和日誌記錄等幾個方面入手

Web安全性測試
資料加密：某些資料需要進行資訊加密和過濾後才能進行資料傳輸，例如使用者信用卡資訊、使用者登陸密碼資訊等。此時需要進行相應的其他操作，如儲存到資料庫、解密傳送要使用者電子郵箱或者客戶瀏覽器。目前的加密演算法越來越多，越來越複雜，但一般資料加密的過程時可逆的，也就是說能進行加密，同時需要能進行解密！

登入：一般的應用站點都會使用登入或者註冊後使用的方式，因此，必須對使用者名稱和匹配的密碼進行校驗，以阻止非法使用者登入。在進行登陸測試的時候，需要考慮輸入的 密碼是否對大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登入，哪些頁面或者檔案 需要登入後才能訪問/下載等。

超時限制：WEB應用系統需要有是否超時的限制，當使用者長時間不作任何操作的時候，需要重新登入才能使用其功能。

SSL：越來越多的站點使用SSL安全協議進行傳送。SSL是Security Socket Lauer(安全套接字協議層)的縮寫，是由Netscape首先發表的網路資料安全傳輸協議。SSL是利用公開金鑰/私有金鑰的加密技術。（RSA），在位於HTTP層和TCP層之間，建立使用者與伺服器之間的加密通訊，確保所傳遞資訊的安全性。SSL是工作在公共金鑰和私人金鑰基礎上的，任何使用者都可以獲得公共金鑰來加密資料，但解密資料必須要通過相應的私人金鑰。進入一個SSL站點後，可以看到瀏覽器出現警告資訊，然後位址列的http變成https，在做SSL測試的時候，需要確認這些特點，以及是否有時間連結限制等一系列相關的安全保護。

伺服器指令碼語言：指令碼語言是最常見的安全隱患，如有些指令碼語言允許訪問根目錄，經驗豐富的黑客可以通過這些缺陷來攻擊和使用伺服器系統，因此，指令碼語言安全性在測試過程中也必須被考慮到。

日誌檔案：在伺服器上，要驗證伺服器的日誌是否正常工作，例如CPU的佔用率是否很高，是否有例外的程式佔用，所以的事務處理是否被記錄等。

目錄：WEB的目錄安全是不容忽視的一個因素。如果WEB程式或WEB伺服器的處理不適當，通過簡單的URL替換和推測，會將整個WEB目錄完全暴露給使用者，這樣會造成很大的風險和安全性隱患。我們可以使用一定的解決方式，如在每個目錄訪問時有index.htm,或者嚴格設定WEB伺服器的目錄訪問許可權，將這種隱患降低到最小程度。