①現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊(cè),后登錄的方式。因此,必須測(cè)試有效和無(wú)效的用戶(hù)名和密碼,要往意到是否大小寫(xiě)敏感,可以試多少次的限制,是否可以不登錄而直接瀏覽某個(gè)頁(yè)面等。
②Web應(yīng)用系統(tǒng)是否有超時(shí)的限制,也就是說(shuō),用戶(hù)登錄后在一定時(shí)間內(nèi)(例如15min)沒(méi)有點(diǎn)擊任何頁(yè)面,是否需要重新登錄才能正常使用。
③為了保證Web應(yīng)用系統(tǒng)的安全性,日志文件是至關(guān)重要的。需要測(cè)試相關(guān)信息是否寫(xiě)進(jìn)了日志文件、是否可追蹤。
④當(dāng)使用了安全套接字時(shí),還要測(cè)試加密是否正確,檢查信息的完整性。
⑤服務(wù)器端的腳本常常構(gòu)成安全漏洞,這些漏洞又常常被黑客利用。所以,還要測(cè)試沒(méi)有經(jīng)過(guò)授權(quán),就不能在服務(wù)器端放置和編輯腳本的問(wèn)題。
⑥目錄設(shè)置。網(wǎng)站設(shè)計(jì)Web安全的第一步就是正確設(shè)置目錄。每個(gè)目錄下應(yīng)該有index .html或main.html頁(yè)面,這樣就不會(huì)顯示該目錄下的所有內(nèi)容。如果沒(méi)有執(zhí)行這條規(guī)則。那么選中一幅圖片并右擊,找到該圖片所在的路徑"... com/objects/images"。然后在瀏覽器地址欄中手工輸人該路徑,發(fā)現(xiàn)該站點(diǎn)所有圖片的列表。這可能沒(méi)什么關(guān)系。但是進(jìn)入下一級(jí)目錄“...com/objects",單擊Jackpot.在該目錄下有很多資料,其中有些都是已過(guò)期頁(yè)面。如果該公司每個(gè)月都要更改產(chǎn)品價(jià)格信息,并且保存過(guò)期頁(yè)面。那么只要翻看了一下這些記錄,就可以估計(jì)其邊際利潤(rùn)以及為了爭(zhēng)取一個(gè)合同還有多大的降價(jià)空間。如果某個(gè)客戶(hù)在談判之前查看了這些信息,他在談判桌上肯定處于上風(fēng)。
本文地址:http://123beaconmarketing.com//article/3830.html