一、闡述常見的Web安全測試有幾種類型？

數據加密：某些數據需要進行信息加密和過濾后才能在客戶端和服務器之間進行傳輸，包括用戶登錄密碼、信用卡信息等。

登錄或身份驗證：一般的應用站點都會使用登錄或者注冊后使用的方式，因此，必須對用戶名和匹配的密碼進行校驗，以阻止非法用戶登錄。在進行登錄測試的時候，需要考慮輸入的密碼是否大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登錄，哪些頁面或者文件需要登錄后才能訪問/下載等。身份驗證還包括調用者身份、數據庫的身份、用戶授權等，并區分公共訪問和受限訪問，受限訪問的資源。

輸入驗證：在進行Web安全性測試時，每個輸入域都需要用標準的機制驗證，長度、數據類型等符合設定要求，不允許輸入JavaScript代碼，包括驗證從數據庫中檢索的數據、傳遞到組件或Web服務的參數等。

SQL注入：從客戶端提交特殊的代碼，從而收集程序及服務器的信息，從而獲取必要的數據庫信息，然后基于這些信息，可以注入某些參數，繞過程序的保護，針對數據庫服務器進行攻擊。

超時限制：Web應用系統一般會設定“超時”限制，當用戶長時間不做任何操作時，需要重新登錄才能打開其他頁面。

目錄：如果Web程序或Web服務器的處理不適當，可以通過簡單的URL替換和推測，使整個Web目錄暴露出來，帶來嚴重的安全隱患。

操作留痕：為了保證Web應用系統的安全性，日志文件是至關重要的。需要測試相關信息是否寫進入了日志文件，是否可追蹤。

二、安全測試工具

1、概述

序號	安全測試工具	商用OR免費	檢測對象（二進制/源代碼）	簡介
1	Metasploit	免費	源代碼	為用戶提供已知安全漏洞主要信息的計算機安全項目（框架），并且Metasploit幫助指定滲透測試和IDS監測計劃、戰略以及利用計劃
2	Nmap	免費	二進制	主機掃描工具，可以進行全面的檢查，被用于發現網絡和安全審計
3	Paros proxy	免費	源代碼	基于java的web代理程序，可以評估web應用程序的漏洞
4	Pangolin	商用	源代碼	利用目標網站的某個頁面缺少對用戶傳遞參數控制或者控制的不夠好的情況下出現的漏洞，從而達到獲取、修改、刪除數據，甚至控制數據庫服務器、Web服務器的目的的測試方法。
5	w3af	免費	源代碼	針對Web應用的檢測
6	Dsniff	免費	源代碼	是一個基于unix系統網絡嗅探工具
7	Wapiti	免費	源代碼	掃描指定目標的網頁，并尋找腳本和表單來諸如數據，看看是否有漏洞
8	Nikto	免費	源代碼	旨在發現Web服務器的配置錯誤，插件和網頁漏洞
...	?	?	?	?

?

?

?

?

?

?

?

2、安全測試工具試用

安裝：

?

完成安裝。

配置環境變量：

?打開：

?

打開時發生錯誤，應該是殺毒軟件隔離刪除了部分文件，導致軟件功能不完整。

?

轉載于:https://www.cnblogs.com/zpp502/p/10838770.html

總結

以上是生活随笔為你收集整理的软件测试2019：第五次作业—— 安全测试（含安全测试工具实验）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。