❶ 應用安全測試中「剩餘信息保護」和「抗抵賴」如何測試,最好有詳細的測試方法,謝謝!
信息技術的應用和管理
隨著互聯網的發展,電子商務已經逐漸成為一種新的模式,為人們進行商務活動。相對於傳統的商業模式,電子商務具有方便,高效的功能和優點。全球貿易額通過電子商務渠道在同期世界貿易的一小部分。究其原因,電子商務是一項復雜的系統工程,它的實施還取決於許多的社會問題,解決技術問題,一步一步的改善。在電子商務的安全性是制約其發展的電子商務的核心和關鍵問題,電子商務的安全技術也成為公眾關注和研究的重點。
電子商務的安全問題
確保交易數據的安全性是電子商務系統的關鍵。由於互聯網本身的開放性,電子商務系統正面臨著各種安全威脅。電子商務的主要的安全隱患存在以下幾個方面:
(1)冒充合法用戶的身份。合法用戶的身份信息竊取攻擊者通過非法手段,假冒合法用戶的身份與他人交易,獲得非法利益。
(2)竊取信息。攻擊者在網路中的傳輸信道,通過物理的或邏輯的數據非法攔截和聆聽,由此得到的敏感信息的通信。
(3)信息被篡改。攻擊者可以篡改的內容在網路上截獲的信息,如改變的消息順序的時間,注入偽造消息等,因此,損失的真實性和完整性。
(4)拒絕服務攻擊。攻擊者阻礙合法訪問信息,商務或其他資源,例如,一個業務口濫用使其他用戶無法正常使用。
(5)拒絕在這個問題上的信息。有些用戶可能是惡意的拒絕發給推卸自己的責任。
(6)非法入侵和病毒的攻擊。計算機網路往往會遭受非法入侵攻擊和計算機病毒的破壞。
電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此,電子商務的安全性總體上可分為兩個主要部分組成的計算機網路安全和商務交易的安全性。
計算機網路安全計算機網路安全的措施,包括安全的計算機網路設備,計算機網路系統安全,資料庫安全的內容。計算機網路安全方面的問題存在,實施網路安全增強方案,以確保計算機網路的安全性為目標的特點。
主要的計算機網路安全防護措施包括三個方面的保護網路安全保護應用服務安全和保護系統的每一個環節的安全考慮安全,物理安全,防火牆,信息安全,網路安全,媒體安全性。
(a)保護網路安全。網路安全業務各方之間的網路終端系統是保障安全的通信過程。確保保密性,完整性,身份驗證和訪問控制網路安全的重要因素。保護網路安全的措施如下:
(1)全面規劃網路平台的安全策略。
(2)網路安全管理措施的發展。
(3)使用防火牆。
(4)記錄在網路上的所有活動的盡可能多。
(5)需要注意的是網路設備的物理保護的。
(6)測試的網路平台系統的脆弱性。
(7)建立一個可靠的識別和認證機制。
(b)保護應用程序的安全性。保護應用程序的安全性,安全防範措施,建立特定的應用程序(如Web伺服器,網路支付專用軟體系統),它是獨立於任何其他網路安全防範措施。雖然一些保護措施可能的替代或重疊的網路安全業務,如Web瀏覽器和Web伺服器在應用層的網路支付結算系統(RTGS),通過IP層加密數據包的加密,但是許多應用程序有自己特定的安全要求。
最嚴格的安全要求,電子商務的應用層,最復雜的,因此更傾向於採取了多種安全性措施在應用層,而不是網路層。
在網路層的安全性有其特定的地位,但它不能完全依靠它來解決電子商務應用的安全性。在應用層,安全認證,訪問控制,機密性,數據完整性,不可抵賴性,網路安全,電子數據交換和互聯網支付應用程序的安全服務。
(c)保護系統的安全性。保護系統安全的整體電子商務系統或網路支付系統和網路系統的硬體平台,操作系統,應用軟體相互關聯的,安全的角度出發。網路支付和結算系統的安全性,包括以下措施:
(1)安裝的軟體,如瀏覽器軟體,電子錢包軟體,支付網關軟體,檢查和確認未知的安全漏洞。
(2)技術與管理有機結合,系統最小穿透風險。如通過多項認證,允許連接必須審核所有訪問數據和嚴格的安全管理系統用戶。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊。
業務交易的安全性措施
業務交易的安全性,緊緊圍繞傳統的商業應用在互聯網上的各種安全問題,計算機網路安全的基礎上,如何保障電子商務過程的順利。
各種商務交易安全服務實現的安全技術,包括加密技術,認證技術和電子商務安全協議。
(一)加密技術。加密技術是電子商務的一個基本的安全所採取的措施中,交易雙方可能需要在信息交換的階段。加密技術分為兩類,即對稱加密,非對稱加密。
(1)對稱加密。對稱加密,也稱為私鑰加密,發送者和接收者,使用相同的密鑰來加密和解密數據的信息。其最大的優勢是加/解密速度快,適合對大量的數據進行加密,但密鑰管理困難。通信雙方的專用密鑰在密鑰交換階段,以確保不被泄露,保密性和完整性的消息可以加密,這種加密方式保密信息一起發送的消息或消息散列消息摘要值實現的。
(2)非對稱加密。也被稱為公共密鑰加密,非對稱加密,使用一對密鑰完成加密和解密操作,這是一個公開可用的(公開密鑰),而另一個是保密的由用戶(即,私有密鑰)??。信息交換過程:甲方生成一對密鑰和公鑰對其他對手開放,使用的密鑰來加密的信息發送前乙方向甲方黨的公鑰,然後A自己的私鑰加密信息存儲在進行解密。
(二)認證技術。認證技術是使用電子方式確認的身份信息傳送或存儲過程中沒有被篡改發件人和收件人身份和文件完整性的證明。
(1)數字簽名。也被稱為電子簽名,手寫簽名,數字簽名,可以發揮電子文件的認證,批准和加入力的作用。它的實施是散列函數和公開密鑰演算法相結合的文本消息,發送者生成一個散列值,並用自己的私鑰加密哈希值,形成發送方的數字簽名,然後,數字簽名的附件和數據包作為數據包一起發送的數據包的接收器;接收側,以計算出的散列值從原始數據包的數據包接收的第一,然後使用發送方的公共密鑰的數字簽名的關鍵附加的數據包是解密,如果這兩個散列值?是相同的,那麼接收方將能夠以驗證該數字簽名是發送側。數字簽名機制提供的鑒別方法,以解決問題的偽造抵賴,冒充篡改。
(2)數字證書。數字證書是一個文件包含的信息以及的公共鍵的公共鍵擁有數字證書的證書頒發機構簽署的人物大部分是由用戶的公鑰,加上了用戶身份的關鍵標識符的所有者和信任的第三方黨的簽名第三方一般用戶信任的證書頒發機構(CA),如政府部門和金融機構。提交他的公鑰的公鑰證書的權威,以安全的方式,並拿到證書,然後用戶就可以打開證書。需要用戶的公共密鑰可以得到這個證書,和信任簽名的公共密鑰的有效性進行驗證。通過一系列的跡象顯示,雙方的交易識別信息數據的數字證書,並提供了一??種方法來驗證自己的身份,用戶可以用它來識別對方的身份。
(三)電子商務協議的安全性。除了上面提到的各種安全技術,電子商務的運作,是一套完整的安全協議。目前,比較成熟的協議,如SET,SSL。
(1)安全套接層協議SSL。 SSL協議在傳輸層和應用層,SSL記錄協議,SSL握手協議和SSL警報協議。 SSL握手協議用來在客戶端和伺服器的實際傳輸應用層數據之前創建一個安全機制。當第一個客戶端和伺服器通信時,雙方通過握手協議版本號,密鑰交換演算法,數據加密演算法和Hash演算法達成一致,然後互相驗證身份的其他,最後使用協商密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶端和伺服器端數據加密演算法和哈希演算法參數,根據這個秘密信息。 SSL記錄協議SSL握手協議協商參數的基礎上,發送的數據由應用層加密,壓縮,計算消息認證碼MAC,然後將其發送到其他網路傳輸層。通過客戶端和伺服器之間的SSL警告協議SSL錯誤消息。
(2)安全電子交易SET。 SET協議,用於劃分和界定消費者電子商務活動中的權利和義務之間的關系網上商戶,無論是銀行,信用卡組織,交易信息的傳輸過程標准。 SET主要由三個文件,SET業務描述,SET程序員指南和SET協議描述。 SET協議,以確保保密性,數據完整性,身份的合法性的電子商務系統。
SET協議專為電子商務系統。它位於應用層,認證體系是完美的,可以實現多方認證。執行設置的商家,消費者賬戶信息是保密的。 SET協議是非常復雜的交易數據,以驗證使用多個鍵和多個加密和解密。 SET協議,除了為消費者和企業,以及發卡銀行,收單銀行,認證,支付網關和其他參與者。
四,結束語
計算機網路安全和商務交易的安全性是密不可分的,兩者相輔相成,缺一不可。計算機網路安全的商業交易為基礎的安全是不可能的。如果沒有安全的商業交易,即使計算機網路本身再安全,仍然無法達到特定的電子商務的安全性要求。
隨著電子商務的發展,電子交易手段更多樣化的安全問題將變得更加重要和突出。電子商務對計算機網路安全和業務安全的雙重要求,使電子商務的安全性高於大多數計算機網路的復雜程度,應作為系統工程,而不是解決方案來實現電子商務的安全性。
❷ 密碼技術應用專業學什麼
密碼技術應用專業學計算機組成原理、計算機網路技術、操作系統應用、程序設計基礎、資料庫應用、密碼技術基礎、信息安全標准與法規。
專業核心課程:信息安全技術與實施、商用密碼產品部署、公鑰基礎設施應用、電子商務安全應用、密碼應用安全測評、信息安全工程與管理。
具備依據國家密碼相關標准與法規,開展信息系統密碼應用安全性評估工作的能力;
具備應急處置密碼應用安全突發事件的能力;
具備開展密碼應用技術咨詢、密碼科普等相關服務的能力;
具備信息技術和數字技術的應用能力;
具有探究學習、終身學習和可持續發展的能力。
❸ 如何進行WEB安全性測試
安全性測試
產品滿足需求提及的安全能力
n 應用程序級別的安全性,包括對數據或業務功能的訪問,應
用程序級別的安全性可確保:在預期的安全性情況下,主角
只能訪問特定的功能或用例,或者只能訪問有限的數據。例
如,可能會允許所有人輸入數據,創建新賬戶,但只有管理
員才能刪除這些數據或賬戶。如果具有數據級別的安全性,
測試就可確保「用戶類型一」 能夠看到所有客戶消息(包括
財務數據),而「用戶二」只能看見同一客戶的統計數據。
n 系統級別的安全性,包括對系統的登錄或遠程訪問。
系統級別的安全性可確保只有具備系統訪問許可權的用戶才能
訪問應用程序,而且只能通過相應的網關來訪問。
安全性測試應用
防SQL漏洞掃描
– Appscan
n防XSS、防釣魚
– RatProxy、Taint、Netsparker
nget、post -> 防止關鍵信息顯式提交
– get:顯式提交
– post:隱式提交
ncookie、session
– Cookie欺騙
❹ Web應用的測試內容都包括哪些方面
1、通用指標
指Web應用伺服器、資料庫伺服器必需測試項,包括:處理器時間:指伺服器CPU佔用率,一般平均達到70%時,服務就接近飽和。可用內存數:如果測試時發現內存有變化情況也要注意,如果是內存泄露則比較嚴重。物理磁碟讀寫時間。
2、Web伺服器指標
平均每秒響應次數為總請求時間與秒數之比。平均每秒業務腳本的迭代次數。成功的請求和失敗的請求。成功的點擊次數和失敗的點擊次數。每秒點擊次數、每秒成功的點擊次數和每秒失敗的點擊次數。嘗試連接數。
3、資料庫伺服器指標
用戶連接數,也就是資料庫的連接數量。資料庫死鎖量。資料庫緩存的命中情況。
(4)應用和資料庫安全測評擴展閱讀
對被測的Web應用程序進行需求分析,即對所做的測試作一個簡要的介紹,包括描述測試的目標和范圍,所測試的目標要實現一個什麼樣的功能,總結基本文檔、主要活動。
寫出測試策略和方法,這里包括測試開始的條件、測試的類型、測試開始的標准以及所測試的功能、測試通過或失敗的標准、結束測試的條件、測試過程中遇到什麼樣的情況終止和怎麼處理後恢復等。
一個Web應用程序由完成特定任務的各種Web組件(web components)構成的並通過Web將服務展示給外界。在實際應用中,Web應用程序由多個Servlet、JSP頁面、HTML文件以及圖像文件等組成。所有這些組件相互協調為用戶提供一組完整的服務。