A. Web業務安全測試方法(1)—越權測試
來這家公司快四個月了,現在對這四個月的工作做一個總結。挖過越權漏洞、低價買服務漏洞、未鑒權的介面、CSRF漏洞、軟體升級未做校驗、組件暴露等漏洞,主要是業務方面的。下面我首先針對越權漏洞說下測試方法:
大家可能對用戶信息又疑問,下面我舉例來說明用戶信息:譬如A用戶的訂單號是唯一的,B用戶刪除自己的訂單時,把自己的訂單號改為A的,如果有越權漏洞,那麼B用戶就刪除了A用戶的訂單。
限於公司保密需要,我找幾個 烏雲 的漏洞來說明下,沒有的我就單獨說明。
從數據包中,我們可以看到addr_id是唯一標識用戶地址的,伺服器並沒有去做判斷用戶是否有許可權操作,導致了越權漏洞。諸如此類的還有保單信息、醫療保險等信息。這種改id號的最為初級的,也是最容易發現的越權漏洞。下面來看個進階版。
測試環境:
一次測試過程中,發現獲取用戶信息的時候要提交自己的用戶名,假設是XML文件:
我嘗試改為
發現沒有許可權獲取信息。怎麼辦呢?想到XML文件解析時,可能解析所有的節點,那麼我同時提交兩者的用戶名:
即可得到B用戶的信息。
B. 如何在windowns7發布web站點
1在 控制面板->程序和功能->打開或關閉Windows功能.找到"Internet 信息服務",並將其子集全部打上勾.
2這一步操作其實就相當於是開啟了 IIS 功能.
3在開啟 IIS 後,到 控制面板->管理工具->Internet信息服務(IIS)管理器,雙擊打開一個新的控制面板.
4找到 網站->Default WebSite->添加應用程序
5填寫應用程序的別名,應用程序池默認就可以,物理路徑選擇上篇文章中建立Webservice時所保存的路徑.
到這里還有一步操作. 點擊 "連接為" 按鈕
6選擇 特定用戶, 點擊右邊的 "設置" 按鈕 , 填寫憑據信息,這里填寫你電腦的用戶名跟密碼,用戶名一般默認都是 administrator
7填寫好證據後,點擊 "測試設置" 按鈕. 在測試連接裡面,如果 "身份驗證"跟"授權"前面都打了綠色的勾,那麼說明配置成功.
這一步是對於 IIS 訪問許可權的配置.也就是獲得系統管理員許可權.
8找到 IIS 選項裡面的 "目錄瀏覽" , 雙擊打開新面板.
9點擊選擇最右邊側面的 "啟用" 按鈕.
這里的啟用可以讓我們有瀏覽應用程序內部文件目錄的許可權.
10點擊右側的 瀏覽應用程序
11在後面加上我們上一篇文章里新添加的"一般處理程序" Handler1.ashx
就可以訪問到我們剛發布到 IIS 的網站.
C. web安全測試一般包括哪些測試內容
一個完整的Web安全體系測試可以從部署與基礎結構,輸入驗證,身份驗證,授權,配置管理配置管理配置管理配置管理,敏感數據,會話管理,加密,參數操作,異常管理,審核和日誌記錄等幾個方面入手
D. Web測試的主要內容和測試方法有哪些
1功能測試 2 1.1鏈接測試 2 1.2表單測試 2 1.3數據校驗 3 1.4 cookies測試 3
1功能測試 2
1.1鏈接測試 2
1.2表單測試 2
1.3數據校驗 3
1.4 cookies測試 3
1.5資料庫測試 3
1.6應用程序特定的功能需求 4
1.7設計語言測試 4
2性能測試 4
2.1連接速度測試 4
2.2負載測試 4
2.3壓力測試 5
3用戶界面測試 6
3.1導航測試 6
3.2圖形測試 6
3.3內容測試 7
3.4表格測試 7
3.5整體界面測試 7
4兼容性測試 8
4.1平台測試 8
4.2瀏覽器測試 8
4.3解析度測試 8
4.4 Modem/連接速率 9
4.5列印機 9
4.6組合測試 9
5安全測試 9
5.1目錄設置 9
5.2登錄 10
5.3日誌文件 10
5.4腳本語言 10
6介面測試 10
6.1伺服器介面 10
6.2外部介面 11
6.3錯誤處理 11
7結論 11
在Web工程過程中,基於Web系統的測試、確認和驗收是一項重要而富有挑戰性的工作。基於Web的系統測試與傳統的軟體測試不同,它不但需要檢查和驗證是否按照設計的要求運行,而且還要測試系統在不同用戶的瀏覽器端的顯示是否合適。重要的是,還要從最終用戶的角度進行安全性和可用性測試。然而,Internet和Web媒體的不可預見性使測試基於Web的系統變得困難。因此,我們必須為測試和評估復雜的基於Web的系統研究新的方法和技術
E. 基於WEB的信息管理系統測試時應考慮的因素有哪些
功能測試:鏈接測試(1.測試所有連接是否按指示的那樣確實連接到了該連接的頁面,2.測試所連接的也面是否存在,3.保證WEB應用系統上沒有孤立的頁面.只能在集成測試階段完成.);表單測試(用戶給信息系統管理員提交信息時,要測試提交操作的完整性,以校驗提交給伺服器的信息的正確性.);COOKIES測試(Cookies通常用來存儲用戶信息和用戶在某應用系統的操作,當一個用戶使用Cookies訪問了某一個應用系統時,Web伺服器將發送關於用戶的信息,把該信息以Cookies的形式存儲在客戶端計算機上,這可用來創建動態和自定義頁面或者存儲登陸等信息.如果Web應用系統使用了Cookies,就必須檢查Cookies是否能正常工作。測試的內容可包括Cookies是否起作用,是否按預定的時間進行保存,刷新對Cookies有什麼影響.)設計語言測試(使用哪種版本的HTML).資料庫測試(資料庫為Web應用系統的管理、運行、查詢和實現用戶對數據存儲的請求等提供空間。在Web應用中,最常用的資料庫類型是關系型資料庫,可以使用sql對信息進行處理。在使用了資料庫的Web應用系統中,一般情況下,可能發生兩種錯誤,分別是數據一致性錯誤和輸出錯誤。數據一致性錯誤主要是由於用戶提交的表單信息不正確而造成的,而輸出錯誤主要是由於網路速度或程序設計問題等引起的,針對這兩種情況,可分別進行測試)
性能測試:1連接速度測試2負載測試3壓力測試(
web性能測試的步驟:
第一,分析產品結構,明確性能測試的需求,包括並發、極限、配置和指標等方面的性能要求,必要時基於LOAD測試的相同測略需同時考慮穩定性測試的需求。
第一,分析應用場景和用戶數據,細分用戶行為和相關的數據流,確定測試點或測試介面,列示系統介面的可能瓶頸,一般是先主幹介面再支線介面,並完成初步的測試用例設計。
第三,依據性能測試需求和確定的測試點進行測試組網設計,並明確不同組網方案的重要程度或優先順序作為取捨評估的依據,必要時在前期產品設計中提出支持性能測試的可測試性設計方案和對測試工具的需求。
第四,完成性能測試用例設計、分類選擇和依據用戶行為分析設計測試規程,並准備好測試用例將用到的測試數據。
第五,確定採用的測試工具。
第六,進行初驗測試,以主幹介面的可用性為主,根據測試結果分析性能瓶頸,通過迭代保證基本的指標等測試的環境。
第七,迭代進行全面的性能測試,完成計劃中的性能測試用例的執行。
第八,完成性能測試評估報告。
在進行性能測試的時候,我們需要知道一些有效的性能指標,下面我們來列出一些主要的性能指標:
一是,通用指標(指Web應用伺服器、資料庫伺服器必需測試項):
*ProcessorTime:指伺服器CPU佔用率,一般平均達到70%時,服務就接近飽和;
*Memory Available Mbyte:可用內存數,如果測試時發現內存有變化情況也要注意,如果是內存泄露則比較嚴重;
*Physicsdisk Time :物理磁碟讀寫時間情況。
二是,Web伺服器指標:
*Avg Rps:平均每秒鍾響應次數=總請求時間/秒數;
*Avg time to last byte per terstion(mstes):平均每秒業務角本的迭代次數;*Successful Rounds:成功的請求;
*Failed Rounds:失敗的請求;
*Successful Hits:成功的點擊次數;
*Failed Hits:失敗的點擊次數;
*Hits Per Second:每秒點擊次數;
*Successful Hits Per Second:每秒成功的點擊次數;
*Failed Hits Per Second:每秒失敗的點擊次數;
*Attempted Connections:嘗試鏈接數。
三是,資料庫伺服器指標:
*User 0 Connections :用戶連接數,也就是資料庫的連接數量;
*Number of deadlocks:資料庫死鎖;
*Butter Cache hit:資料庫Cache的命中情況)。
可用性測試:1導航測試(Web應用系統的層次一旦決定,就要著手測試用戶導航功能,讓最終用戶參與這種測試,效果將更加明顯。)2圖形測試3內容測試3整體界面測試4客戶端兼容性測試(1平台測試2瀏覽器測試)5安全性測試(測試重點:(1)現在的Web應用系統基本採用先注冊,後登陸的方式。因此,必須測試有效和無效的用戶名和密碼,要注意到是否大小寫敏感,可以試多少次的限制,是否可以不登陸而直接瀏覽某個頁面等。(2)Web應用系統是否有超時的限制,也就是說,用戶登陸後在一定時間內(例如15分鍾)沒有點擊任何頁面,是否需要重新登陸才能正常使用。(3)為了保證Web應用系統的安全性,日誌文件是至關重要的。需要測試相關信息是否寫進了日誌文件、是否可追蹤。(4)當使用了安全套接字時,還要測試加密是否正確,檢查信息的完整性。(5)伺服器端的腳本常常構成安全漏洞,這些漏洞又常常被黑客利用。所以,還要測試沒有經過授權,就不能在伺服器端放置和編輯腳本的問題。 )
F. 北大青鳥java培訓:Web測試的經驗
1.功能測試1.1.鏈接測試鏈接是Web應用系統的一個主要特徵,它是在頁面之間切換和指導用戶去一些不知道地址的頁面的主要手段。
鏈接測試可分為三個方面。
首先,測試所有鏈接是否按指示的那樣確實鏈接到了該鏈接的頁面;其次,測試所鏈接的頁面是否存在;最後,保證Web應用系統上沒有孤立的頁面,所謂孤立頁面是指沒有鏈接指向該頁面,只有知道正確的URL地址才能訪問。
鏈接測試可以自動進行,現在已經有許多工具可以採用。
鏈接測試必須在集成測試階段完成,也就是說,在整個Web應用系統的所有頁面開發完成之後進行鏈接測試。
1.2.表單測試當用戶給Web應用系統管理員提交信息時,就需要使用表單操作,例如用戶注冊、登陸、信息提交等。
在這種情況下,我們必須測試提交操作的完整性,以校驗提交給伺服器的信息的正確性。
例如:用戶填寫的出生日期與職業是否恰當,填寫的所屬省份與所在城市是否匹配等。
如果使用了默認值,還要檢驗默認值的正確性。
如果表單只能接受指定的某些值,則也要進行測試。
例如:只能接受某些字元,測試時可以跳過這些字元,看系統是否會報錯。
1.3.Cookies測試Cookies通常用來存儲用戶信息和用戶在某應用系統的操作,當一個用戶使用Cookies訪問了某一個應用系統時,Web伺服器將發送關於用戶的信息,把該信息以Cookies的形式存儲在客戶端計算機上,這可用來創建動態和自定義頁面或者存儲登陸等信息。
如果Web應用系統使用了Cookies,就必須檢查Cookies是否能正常工作。
測試的內容可包括Cookies是否起作用,是否按預定的時間進行保存,刷新對Cookies有什麼影響等。
1.4.設計語言測試Web設計語言版本的差異可以引起客戶端或伺服器端嚴重的問題,例如使用哪種版本的HTML等。
當在分布式環境中開發時,開發人員都不在一起,這個問題就顯得尤為重要。
除了HTML的版本問題外,不同的腳本語言,例如Ja、JaScript、ActiveX、VBScript或Perl等也要進行驗證。
1.5.資料庫測試在Web應用技術中,資料庫起著重要的作用,資料庫為Web應用系統的管理、運行、查詢和實現用戶對數據存儲的請求等提供空間。
在Web應用中,最常用的資料庫類型是關系型資料庫,可以使用SQL對信息進行處理。
在使用了資料庫的Web應用系統中,一般情況下,可能發生兩種錯誤,分別是數據一致性錯誤和輸出錯誤。
海南北大青鳥http://www.kmbdqn.cn/認為數據一致性錯誤主要是由於用戶提交的表單信息不正確而造成的,而輸出錯誤主要是由於網路速度或程序設計問題等引起的,針對這兩種情況,可分別進行測試。
G. web安全測試主要測試哪些內容
一個完整的Web安全體系測試可以從部署與基礎結構,輸入驗證,身份驗證,授權,配置管理配置管理配置管理配置管理,敏感數據,會話管理,加密,參數操作,異常管理,審核和日誌記錄等幾個方面入手
H. 如何搭建java web測試環境
WEB
測試
時
搭建測試環境
所需的軟硬體包括:電腦一台、
JDK1.6
、
Tomcat7.0
、
mysql
、
IE
瀏覽器、
Firefox
瀏覽器、
Chrome
瀏覽器、
SVN
客戶端
通過
SVN
客戶端導出最新的
Web
工程部署到
Tomcat7.0
下
的
webapps
中
,另外重要的一
點就是修改資料庫連接的配置文件,
連接到正確的測試資料庫
(企業一般有開發人員所用的
資料庫和測試人員所用的資料庫)
,資料庫連接的配置文件在
WEB-INF
文件夾下,修改好
資料庫的配置文件後,
在
Tomcat7.0\bin\startup.bat
啟動
Tomcat
,
在
Tomcat
沒報錯的情況下,
用瀏覽器訪問後台,出現一個登錄界面,這樣,一個簡單完整的
Web
測試環境就搭建起來
了!
二、
Web
測試方法
1
、鏈接測試
鏈接是
web
應用系統的一個主要特徵,它表示頁面與頁面直接的切換和用戶不知道具體地
址去訪問其他頁面的手段,如果頁面不能跳轉或者是訪問失敗,有很大程度上是
web
應用
程序的鏈接出問題了;
其中有一個重要的性能指標就是鏈接速度的測試,
用戶打開一個頁面
或者是去訪問另外一個頁面,如果
web
系統響應時間太長(例如超過
5
秒鍾)
,用戶就會因
沒耐心而離開,
還有就是有些頁面有超時的限制,
這樣可能引起數據丟失,
使用戶得不到真
實的頁面。
2
、資料庫測試
在
web
應用技術中,資料庫起著重要的作用,資料庫為
web
應用系統的管理、運行、查詢
和實現用戶對數據存儲的請求提供空間,
也就是說用戶在頁面進行各類操作,
如添加、
查詢
刪除等一系列動作,都會被資料庫記錄。
3
、瀏覽器測試
瀏覽器是
web
客戶端最核心的構件,來自不同廠商的瀏覽器對不同開發語言開發的應用程
序有不同的支持,這就需測試人員對主流的瀏覽器和不同版本的瀏覽器進行有效的測試。
4
、平台測試
市場上有很多不同的操作系統類型,
web
應用系統的最終用戶究竟使用哪一種操作系統,
取
決於用戶系統的配置,因此,在
web
系統發布之前,需要在各種主流的
操作系統下對
web
系統進程測試。
5
、負載測試
負載測試是為了測量
web
系統在哪一負載級別上的性能,以保證
web
系統在需求范圍內能
正常工作。
例如:
web
應用系統能允許多少個用戶同時在線?如果超過這個數量會出現什麼
現象?
Web
應用系統能否同時處理大量用戶對同一個頁面的請求?
6
、壓力測試
進行壓力測試通俗的來講是指破壞一個
web
應用系統,測試系統的反映,測試系統的限制
和故障恢復的能力,也就是測試
web
應用系統會不會崩潰,在什麼樣的情況下崩潰。
7
、整體界面測試
整體界面是指整個
web
應用系統的爺們結構設計,是給用戶的一個整體感。例如:當用戶
瀏覽
web
頁面時是否感到舒適,是否憑直覺就知道要找的信息在什麼地方,整個
web
應用
系統的可用性在哪裡。
三、總結
本文主要講述了
web
應用系統的搭建測試環境和
web
測試方法,在測試過程中,有的僅需
要手動測試的,有的需要自動化測試工具的幫助,所以
web
系統的測試要求測試人員有很
深的自動化測試技術。