如何進行網站的安全測試

（一）、安全測試是什麼？

所謂安全性測試（security testing）是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。

注意：安全性測試並不最終證實應用程序是安全的，而是用於驗證所設立策略的有效性，這些對策是基於威脅分析階段所作的假設而選擇的。

（二）、WEB安全性測試

一個完整的WEB安全性測試能夠從部署與基礎結構、輸入驗證、身份驗證、受權、配置管理、敏感數據、會話管理、加密、參數操做、異常管理、審覈和日誌記錄等幾個方面入手。

1、 安全體系測試

一、部署與基礎結構 網絡是否提供了安全的通訊 部署拓撲結構是否包括內部的防火牆 部署拓撲結構中是否包括遠程應用程序服務器 基礎結構安全性需求的限制是什麼 目標環境支持怎樣的信任級別

二、 輸入驗證

如何驗證輸入

1） 是否清楚入口點

2） 是否清楚信任邊界

3） 是否驗證Web頁輸入

4） 是否對傳遞到組件或Web服務的參數進行驗證

5） 是否驗證從數據庫中檢索的數據

6） 是否將方法集中起來

7） 是否依賴客戶端的驗證

8） 應用程序是否易受SQL注入攻擊

9） 應用程序是否易受XSS攻擊

如何處理輸入

三、身份驗證

1）是否區分公共訪問和受限訪問

2）是否明確服務賬戶要求

3）如何驗證調用者身份

4）如何驗證數據庫的身份

5）是否強制試用賬戶管理措施

四、受權

1）如何向最終用戶受權

2）如何在數據庫中受權應用程序

3）如何將訪問限定於系統級資源

五、配置管理

1）是否支持遠程管理

2）是否保證配置存儲的安全

3）是否隔離管理員特權

六、 敏感數據

是否存儲機密信息

如何存儲敏感數據

是否在網絡中傳遞敏感數據

是否記錄敏感數據

測試實施

一、 不登陸系統，直接輸入登陸後的頁面的url是否能夠訪問

二、 不登陸系統，直接輸入下載文件的url是否能夠下載，如輸入http://url/download?name=file是否能夠下載文件file

三、 退出登陸後按後退按鈕可否訪問以前的頁面

四、 ID/密碼驗證方式中可否使用簡單密碼。如密碼標準爲6位以上，字母和數字混合，不能包含ID，連續的字母或數字不能超過n位

五、 重要信息（如密碼，身份證號碼，信用卡號等）在輸入或查詢時是否用明文顯示；在瀏覽器地址欄裏輸入命令javascrīpt:alert(doucument.cookie)時是否有重要信息；在html源碼中可否看到重要信息

六、 手動更改URL中的參數值可否訪問沒有權限訪問的頁面。如普通用戶對應的url中的參數爲l=e，高級用戶對應的url中的參數爲l=s，以普通用戶的身份登陸系統後將url中的參數e改成s來訪問本沒有權限訪問的頁面

七、 url裏不可修改的參數是否能夠被修改

八、 上傳與服務器端語言（jsp、asp、php）同樣擴展名的文件或exe等可執行文件後，確認在服務器端是否可直接運行

九、 註冊用戶時是否能夠以'--,' or 1=1 --等作爲用戶名

十、 傳送給服務器的參數（如查詢關鍵字、url中的參數等）中包含特殊字符（','and 1=1 --,' and 1=0 --,'or 1=0 --）時是否能夠正常處理

十一、 執行新增操做時，在全部的輸入框中輸入腳本標籤（<scrīpt>alert("")</scrīpt>）後可否保存

十二、 在url中輸入下面的地址是否能夠下載：http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd

1三、 是否對session的有效期進行處理

1四、 錯誤信息中是否含有sql語句、sql錯誤信息以及web服務器的絕對路徑等

1五、 ID/密碼驗證方式中，同一個帳號在不一樣的機器上不能同時登陸

1六、 ID/密碼驗證方式中，連續數次輸入錯誤密碼後該帳戶是否被鎖定

1七、 新增或修改重要信息（密碼、身份證號碼、信用卡號等）時是否有自動完成功能（在form標籤中使用autocomplete=off來關閉自動完成功能）

一、web平臺：web平臺軟件漏洞,包括Http底層服務軟件(好比，IIS或Apache)等底層基礎設施，以及應用程序開發框架(如Asp.Net或者PHP).

二、web應用：對受權、認證、站點結構、輸入驗證、程序邏輯以及管理接口進行攻擊。

三、數據庫：經過數據庫查詢進行特權命令，操縱查詢以返回額外的數據集，這裏最具破壞性的攻擊是SQL注入。

四、web客戶端：活動內容執行、客戶端軟件漏洞攻擊、跨站腳本錯誤，以及釣魚欺騙

五、傳輸：竊聽客戶-服務器通訊，SSL重定向

六、可用性：若是要你迅速地指出更危險的"黑客"技術，拒絕服務攻擊(denial of service,DoS)常常會被遺漏，其實DoS攻擊是任何可公開訪問的Web應用所面臨的最大威脅之一。讓任何資源都對公衆開放原本就有很大的挑戰，在網絡世界中更是如此。

其中Open Web Application Security Project(owas)就是流行之一。

 推薦測試網站各項性能的免費在線工具

你是否確定你的網站徹底兼容各大瀏覽器？是否知道多少秒能夠打開你的網站？是否能夠自信地說你的網站根本就沒有打不開的時候？是否……              

雖然它看似不重要，但這些在必定程度上也對你的網站的訪問量產生了影響 （其它一部分影響瀏覽量的緣由及解決辦法）。這裏列出了一份31個我最喜好的免費在線測試工具，你能夠經過這些工具來測試你的網站，並根據結果對你的網站進行修改。              

網站代碼驗證沒人能夠細緻到保證本身的網站代碼都是正確的，你能夠經過如下測試來驗證網站代碼是否正確。              

1 、WDG HTML Validator

一個很好的工具，能找出網站語法錯誤的地方，並標註出來，也可選擇對網站上單獨的每一頁進行單頁分析。（強烈推薦）                

2 、 W3C Markup Validation Service

 對 HTML 和 XHTML 都能進行代碼測試，自稱是互聯網絡上第一個（也是使用者最多的）的 HTML 驗證工具。               

3 、 W3C CSS Validation Service

用於驗證 css 源代碼，可以標註出很差的 css 代碼設計。例如：「Same colors for color and background-color in two contexts」。                

4 、 RUWF XML Syntax Checker

用於查找 XML 文件的錯誤。                

5 、 W3C Feed Validation Service

用於查找 Atom 和 RSS feed 中的錯誤語法。                

6 、 W3C Link Checker

用於搜尋查明你網站內的全部連接裏是否有斷鏈。（強烈推薦）                

7 、Juicy Studio Link Analyser

測試網站內的連接的 URL 是否存在死鏈，與 W3C Link Checker 很相似。網站的使用性咱們經常看到網站設計者把重點放在怎網站的吸引力上，而徹底不考慮會不會影響來訪者的使用，一個瀏覽難度很大的網頁是註定要失敗，要讓你的來訪者方便的獲得他要的信息（從而成爲重複訪客），你的網站應當遵循 WCAG section 508 易用性規則。                

8 、Watchfire WebXACT

全部嚴謹的設計師和開發者都必須使用的工具，它會生成一個很是詳盡的報告書，包括：網站質量，易用性和隱私等。（強烈推薦）                

9 、 ATRC Web Accessibility Checker

測試網站的 WCAG 2.0 Level2 兼容性，它會生成一份報告，提出一系列建議，如：如何提高頁頭，連接，數據，圖表和文字的訪問速度。                

10 、WAVE 3.0 Web Accessibility Tool

高度可定製的工具，它採用了圖形化模型展現網站兼容性問題（ WCAG 1.0 and section 508 ）。（強烈推薦）                

11 、TAW Web Accessibility Test

測試網頁是否存在衝突（ WCAG 1.0 兼容性 ），經過圖形模式生成一份依據 wcag 優先模式爲基礎的網站修改建議。                

12 、HiSoftware CynthiaSays portal

採用了很是嚴格的規則來測試網頁（ 根據 section 508 和 WCAG 1.0 規則），生成的報告也極爲詳細（詳細到很難看懂 ）。                

13 、HERA Accessibility testing with Style 

使用一種極爲複雜但容易理解方式指出網頁的 wcag1.0 兼容性問題。                

14 、Juicy Studio CSS Analyser

進行了色彩對比測試，以確保你的網站的色調會符合 WCAG 1.0 的要求。                

15 、Juiciy Studio Readability Test

分析你網站上的文字是否有語法錯誤或拼寫錯誤等問題，容易讓人理解不（ 根據 the Flesch Reading Ease 和 Flesch-Kincaid grade level algorithms 規則）。（適合英文網站使用）網站的速度打開你的網站的速度快慢，是來訪者會不會再次訪問網站的關鍵因素，在通常狀況下，一個網絡不是很快的來訪者是不肯意訪問一個充滿着圖片、 flash 動畫、多媒體文件的網站。爲了使你的網站覆蓋人羣的範圍最大化，你必須優化你的網站，使它的打開速度儘量的快。

 

下面的是追加: 有和上面重複的請忽略

網站代碼驗證工具

1. WDG HTML Validator 一個很好的工具，能找出網站語法錯誤的地方，並標註出來，也可選擇對網站上單獨的每一頁進行單頁分析。（強烈推薦）
2. W3C Markup Validation Service 對 HTML 和 XHTML 都能進行代碼測試，自稱是互聯網絡上第一個（也是使用者最多的）的 HTML 驗證工具。（這個我也本身體驗了下，能夠校驗html代碼 是否符合語法）
3. W3C CSS Validation Service 用於驗證 css 源代碼，可以標註出很差的 css 代碼設計。例如：「Same colors for color and background-color in two contexts」。

4. RUWF XML Syntax Checker 用於查找 XML 文件的錯誤。
5. W3C Feed Validation Service 用於查找 Atom 和 RSS feed 中的錯誤語法。（這個我常常用到）
6. W3C Link Checker 用於搜尋查明你網站內的全部連接裏是否有斷鏈。（強烈推薦）
7. Juicy Studio Link Analyser 測試網站內的連接的 URL 是否存在死鏈，與 W3C Link Checker 很相似。
網站的使用性工具
咱們經常看到網站設計者把重點放在怎網站的吸引力上，而徹底不考慮會不會影響來訪者的使用，一個瀏覽難度很大的網頁是註定要失敗，要讓你的來訪者方便的獲得他要的信息（從而成爲重複訪客），你的網站應當遵循 WCAG section 508 易用性規則。
8. Watchfire WebXACT 全部嚴謹的設計師和開發者都必須使用的工具，它會生成一個很是詳盡的報告書，包括：網站質量，易用性和隱私等。（強烈推薦）
9. ATRC Web Accessibility Checker 測試網站的 WCAG 2.0 Level2 兼容性，它會生成一份報告，提出一系列建議，如：如何提高頁頭，連接，數據，圖表和文字的訪問速度。
10. WAVE 3.0 Web Accessibility Tool 高度可定製的工具，它採用了圖形化模型展現網站兼容性問題（ WCAG 1.0 and section 508 ）。（強烈推薦）
11. TAW Web Accessibility Test 測試網頁是否存在衝突（WCAG 1.0 兼容性），經過圖形模式生成一份依據 wcag 優先模式爲基礎的網站修改建議。
12. HiSoftware CynthiaSays portal 採用了很是嚴格的規則來測試網頁（根據 section 508 和 WCAG 1.0 規則），生成的報告也極爲詳細（詳細到很難看懂）。
13. HERA Accessibility testing with Style 使用一種極爲複雜但容易理解方式指出網頁的 wcag1.0 兼容性問題。
14. Juicy Studio CSS Analyser 進行了色彩對比測試，以確保你的網站的色調會符合 WCAG 1.0 的要求。
15. Juiciy Studio Readability Test 分析你網站上的文字是否有語法錯誤或拼寫錯誤等問題，容易讓人理解不（根據 the Flesch Reading Ease 和 Flesch-Kincaid grade level algorithms 規則）。（適合英文網站使用）
網站的速度
打開你的網站的速度快慢，是來訪者會不會再次訪問網站的關鍵因素，在通常狀況下，一個網絡不是很快的來訪者是不肯意訪問一個充滿着圖片、flash 動畫、多媒體文件的網站。爲了使你的網站覆蓋人羣的範圍最大化，你必須優化你的網站，使它的打開速度儘量的快。
16. Web Page Analyzer from Website Optimization 一個很好的工具，它在分析完一個網頁後，會爲減小加載時間提出優化建議，着重優化物體的數目，圖片和網站的整體大小。（強烈推薦）
17. WebSitePulse Test Tools 有一系列的工具來肯定網站的加載速度和主機信息。
18. Internet Supervision Url Check 從世界各地不一樣的服務器來測試你的網站的加載時間，用於肯定是否是各地的來訪者都能順利快速的打開你得網站。
瀏覽器模擬工具
這是一個廣泛的問題，由於如今有着不少的操做系統和瀏覽器，你得網站必須得兼容它們，但這毫不是一件容易的事。經過下列工具，你能夠了解你得網站在各類瀏覽器上的顯示效果。
19. Browsershots 能給出你的網站在不一樣瀏覽器下顯示效果的截圖，包括：Firefox 和 Internet Explorer （ Windows ）、Firefox 和 Safari （ Mac OS X ）、Iceweasal 和 Konqueror （ Linux ），可是結果要在 1 - 3 小時後才能出來。
20. IE NetRenderer 實時生成你的網站在 Internet Explorer 5.5 、6.0 和 7.0 下的截圖。
21. MobiReady Report 分析使用手機訪問網頁的兼容性問題，會生成一份詳細的報告，並提供了在兩種不一樣類型的手機瀏覽器上你得網站可能顯示的樣子。
搜索引擎優化(SEO)
一個網站，若是對搜索引擎有着比較好的友好度，必定會比較有競爭力。
22. UrlTrends 會顯示網站的訪客是如何經過搜索引擎來到你的網站，還有各個流量是多少。這些數據是包括 Google, Yahoo, MSN, Alexa, AlltheWeb, AltaVista 和其餘一些網站。（強烈推薦）
23. iWEBTOOL Backlink Checker 一個很好的工具，它能找出有什麼站點連接到你的站點，那些站點是什麼類型的站點。
24. iWEBTOOL Multi-Rank Checker 顯示你網站的 Alexa 和 Google PageRank 數值。
25. Microsoft adCenter Labs: Advertising and Keyword Research Tools 一個極好的工具，用於分析和預測你網站的來訪者和市場。（強烈推薦）
26. Domain Tools Whois lookup 一個 WHOIS 網絡工具。
27. SEO-Browser 可讓你看到在搜索引擎眼裏同樣的網站（去掉全部的」美麗」配件）。
28. SEO Workers SEO Analysis Tool 很是有用的工具，分析了網站上的各類分類特徵，包括 meta 標籤、關鍵字密度及加載時間。（強烈推薦）
29. Seekport Seekbot 能夠分析網站的數據和內容，以得出搜索引擎會如何有效的解釋分析的網站。
30. SEO Chat SEO Tools 用以分析網站 Google adsense 盈利潛力，關鍵字密度，Meta tag 等等……
31. Marketleap Search Engine Marketing Tools 用來分析網頁，讓你知道你的網站檢索、設定的關鍵字好很差。