web安全檢測方法和裝置

⑴ Web測試的主要內容和測試方法有哪些

測試分類：

1、界面測試

1）給用戶的整體感：舒適感；憑感覺能找到想要找的信息；設計風格是否一致

2）各控制項的功能

2、功能測試

1）刪除/增加某一項：是否對其他項造成影響，這些影響是否都正確

2）列表默認值檢查

3）檢查按鈕功能是否正確：新建、編輯、刪除、關閉、返回、保存、導入、上一頁、下一頁、頁面跳轉、重置（常見錯誤）

4）字元串長度檢查：超出長度

5）字元類型檢查

6）標點符號檢查：空格、各種引號、Enter鍵

7）特殊字元：常見%、「、」

8）中文字元：是否亂碼

9）檢查信息完整：查看信息，查看所填信息是否完整更新；更新信息，更新信息與添加信息是否一致

10）信息重復：需唯一信息處，比如重復的名字或ID、重名是否區分大小寫、加空格

11）檢查刪除功能：不選擇任何信息，按Delete，看如何處理；選擇一個或多個進行刪除；多頁選、翻頁選刪除；刪除是否有提示

12）檢查添加和修改是否一致：添加必填項，修改也該必填；添加為什麼類型，修改也該什麼類型

13）檢查修改重名：修改時把不能重名的項改為已存在的內容

14）重復提交表單：一條已經成功提交的記錄，返回後再提交

15）檢查多次使用返回鍵：返回到原來頁面，重復多次

16）搜索檢查：存在或不存在內容，看搜索結果是否正確；多個搜索條件，同時輸入合理和不合理條件；特殊字元

17）輸入信息的位置

18）上傳下載文件檢查：功能是否實現，

上傳：上傳文件是否能打開、格式要求、系統是否有解釋信息、將不能上傳的文件格式修改後綴為可上傳的文件格式；

下載：下載是否能打開、保存、格式要求

19）必填項檢查：必填項未填寫；是否有提示，如加*；對必填項提示返回後，焦點是否自動定位到必填項

20）快捷鍵檢查：是否支持快捷鍵Ctrl+C、Ctrl+V、backspace；對不允許做輸入的欄位（如：下拉選項），對快捷方式是否也做了限制

21）Enter鍵檢查：輸入結束後按Enter鍵，系統如何處理

22）刷新鍵檢查：按瀏覽器刷新鍵如何處理

23）回退鍵檢查：按瀏覽器回退鍵如何處理

24）空格檢查：輸入項輸入一個或多個空格

25）輸入法半形全形檢查：比如，浮點型，輸入全形小數點「。」或「. 」，如4. 5；全形空格

26）密碼檢查：輸入加密方式的極限字元；密碼盡可能長

27）用戶檢查：不同種類管理員用戶的不同許可權，是否可以互相刪除、管理、編輯；一般用戶的許可權；注銷功能，老用戶注銷再注冊，是否為新用戶

28）系統數據檢查：數據隨業務過程、狀態的變化保持正確，不能因為某個過程出現垃圾數據，也不能因為某個過程而丟失數據。

29）系統可恢復性檢查：以各種方式把系統搞癱，測試系統是否可以迅速恢復

30）確認提示檢查：系統更新、刪除操作：是否有提示、取消操作；提示是否准確；事前、事後提示

31）數據注入檢查：對資料庫注入，特殊字元，對SQL語句進行破壞

32）時間日期檢查：時間、日期、時間驗證：日期范圍是否符合實際業務；對於不符合實際業務的日期是否有限制

33）多瀏覽器驗證

3、性能測試

1）壓力測試：實際破壞一個Web應用系統，測試系統的反應，測試系統的限制和故障恢復能力

2）負載測試：在某一負載級別上的性能，包括某個時刻同時訪問Web的用戶數量、在線數據處理的數量

3）強度測試：測試對象在性能行為異常或極端條件下（如資源減少或用戶過多）的可接受性，以此驗證系統軟硬體水平

4）資料庫容量測試：通過存儲過程往資料庫表中插入一定數量的數據，看是否能及時顯示

5）預期指標的性能測試：在需求分析和設計階段會提出一些性能指標，對於預先確定的性能要求要首先進行測試

6）獨立業務性能測試：對核心業務模塊做用戶並發測試，包括同一時刻進行完全一樣的操作、同一時刻使用完全一樣的功能

7）組合業務性能測試：模擬多用戶的不同操作，最接近實際用戶使用情況，按用戶實際的實際使用人數比例來模擬各個模塊的組合並發情況

8）疲勞強度性能測試：系統穩定運行情況下，以一定負載壓力來長時間運行系統的測試

9）網路性能測試：准確展示帶寬、延遲、負載、埠的變化是如何影響用戶的相應時間的

10）大數據量性能測試：實時大數據量，模擬用戶工作時的實時大數據量；極限狀態下的測試，系統使用一段時間，積累一段數據量時能否正常運行，以及對前面兩種進行結合

11）伺服器性能測試：在進行用戶並發性能測試、疲勞強度、大數據量性能測試時，完成對伺服器性能的監控，並進行評估

12）一些特殊的測試：配置測試、內存泄漏的一些特殊測試

4、可用性測試(介面測試）

1）整體界面測試

2）多媒體測試

3）導航測試

5、客戶端兼容性

平台測試：windows；unix；macintosh；linux

瀏覽器測試：不同廠商的瀏覽器對Java、Javascript、ActiveX、plug-ins或不同的HTML的規格

不同的支持；框架和層次結構在不同瀏覽器也不同的顯示

6、安全性

安全性測試要求：

1）能夠對密碼試探工具進行防範

2）能夠防範對Cookie攻擊的常用手段

3）敏感數據保證不用明文傳輸

4）能防範通過文件名猜測和查看html文件內容獲取重要信息

5）能保證在網站收到工具後在給定時間內恢復，重要數據丟失不超過1小時

web的性能測試工具：

隨著Web2.0技術的迅速發展，許多公司都開發了一些基於Web的網站服務，通常在設計開發Web應用系統的時候很難模擬出大量用戶同時訪問系統的實際情況。

因此，當Web網站遇到訪問高峰時，容易發生伺服器響應速度變慢甚至服務中斷。

為了避免這種情況，需要一種能夠真實模擬大量用戶訪問Web應用系統的性能測試工具進行壓力測試，來測試靜態HTML頁面的響應時間，甚至測試動態網頁（包括ASP、PHP、JSP等）的響應時間，為伺服器的性能優化和調整提供數據依據。

1、企業級自動化測試工具WinRunner

MercuryInteractive公司的WinRunner是一種企業級的功能測試工具，用於檢測應用程序是否能夠達到預期的功能及正常運行。

2、工業標准級負載測試工具Loadrunner

LoadRunner是一種預測系統行為和性能的負載測試工具

3、全球測試管理系統testdirector

TestDirector是業界第一個基於Web的測試管理系統，它可以在您公司內部或外部進行全球范圍內測試的管理。

4、功能測試工具RationalRobot

IBMRationalRobot是業界最頂尖的功能測試工具，它甚至可以在測試人員學習高級腳本技術之前幫助其進行成功的測試。

它集成在測試人員的桌面IBMRationalTestManager上，在這里測試人員可以計劃、組織、執行、管理和報告所有測試活動，包括手動測試報告。

這種測試和管理的雙重功能是自動化測試的理想開始。

5、單元測試工具xUnit系列

目前的最流行的單元測試工具是xUnit系列框架，常用的根據語言不同分為JUnit（java），CppUnit（C++），DUnit（Delphi），NUnit（.net），PhpUnit（Php）等等。

該測試框架的第一個和最傑出的應用就是由ErichGamma（《設計模式》的作者）和KentBeck（XP（ExtremeProgramming）的創始人）提供的開放源代碼的JUnit.

6、功能測試工具SilkTest

BorlandSilkTest2006屬於軟體功能測試工具，是Borland公司所提出軟體質量管理解決方案的套件之一。

這個工具採用精靈設定與自動化執行測試，無論是程序設計新手或資深的專家都能快速建立功能測試，並分析功能錯誤。

7、性能測試工具WAS

是由微軟的網站測試人員所開發，專門用來進行實際網站壓力測試的一套工具。

透過這套功能強大的壓力測試工具，您可以使用少量的Client端計算機模擬大量用戶上線對網站服務所可能造成的影響。

8、自動化白盒測試工具Jtest

Jtest是parasoft公司推出的一款針對java語言的自動化白盒測試工具，它通過自動實現java的單元測試和代碼標准校驗，來提高代碼的可靠性。

parasoft同時出品的還有C++test，是一款C/C++白盒測試工具。

9、功能和性能測試的工具JMeter

JMeter是Apache組織的開放源代碼項目，它是功能和性能測試的工具，100%的用java實現。

10、性能測試和分析工具WEBLOAD

webload是RadView公司推出的一個性能測試和分析工具，它讓web應用程序開發者自動執行壓力測試；webload通過模擬真實用戶的操作，生成壓力負載來測試web的性能。

(1)web安全檢測方法和裝置擴展閱讀：

漏洞測試

企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的，是通過代碼堆積起來的。如果這個代碼只供企業內部使用，那麼不會帶來多大的安全隱患。

但是如果放在互聯網上使用的話，則這些為實現特定功能的代碼就有可能成為攻擊者的目標。

天眼舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊，來獲取管理員的密碼等等破壞性的動作。

有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時，其實就有可能在安裝一個木馬（這可能訪問者與被訪問者都沒有意識到）。

為此在為網站某個特定功能編寫代碼時，就要主動出擊。從編碼的設計到編寫、到測試，都需要認識到是否存在著安全的漏洞。

天眼在日常過程中，在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。

已知的病毒、木馬不能夠在所開發的插件中有機可乘。通過這層層把關，就可以提高代碼編寫的安全性。

⑵ 如何進行web滲透測試

Web應用的滲透測試流程主要分為3個階段：信息收集、漏洞發現、漏洞利用。

一、信息收集

在信息收集階段，我們需要盡量多的收集關於目標web應用的各種信息，比如：腳本語言的類型、伺服器的類型、目錄的結構、使用的開源軟體、資料庫類型、所有鏈接頁面，用到的框架等

二、漏洞發現

在這個階段我們在做測試的時候要對症下葯，不能盲目的去掃描，首先要確定目標應用是否使用的是公開的開源軟體，開源框架等、然後在做深一度的漏洞掃描。

三、漏洞利用

針對不同的弱點有不同的漏洞利用方式，需要的知識點也比較多。一般這個階段包括兩種方式，一種是手工測試，一種是工具測試。

手工測試

手工測試是通過客戶端或伺服器訪問目標服務，手工向目標程序發送特殊的數據，包括有效的和無效的輸入，觀察目標的狀態、對各種輸入的反應，根據結果來發現問題的漏洞檢測技術。

工具測試

網路上有很多好用的免費利用工具，比如針對sql注入的sqlmap、針對軟體漏洞的matesploit等。