軟件測試:網(wǎng)站安全測試的兩個部分

個人認(rèn)為網(wǎng)站安全測試應(yīng)分為兩部分：安全體制測試和應(yīng)用與傳輸安全測試。以下為簡單說明：
    一.安全體制測試
    1.部署與基礎(chǔ)結(jié)構(gòu)
    網(wǎng)絡(luò)是否提供了安全的通信。
    部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部防火墻。
    部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器。
    基礎(chǔ)結(jié)構(gòu)安全性要求的限制是什么。
    目標(biāo)環(huán)境支持怎樣的信任級別。
    2.輸入驗(yàn)證
    是否清楚入口點(diǎn)
    是否清楚信任邊界
    是否驗(yàn)證web頁輸入
    是否對傳遞到組件或web服務(wù)的參數(shù)進(jìn)行驗(yàn)證
    是否驗(yàn)證從數(shù)據(jù)庫中檢索的數(shù)據(jù)
    是否依賴客戶端的驗(yàn)證
    應(yīng)用程序是否易受規(guī)范化問題的影響
    應(yīng)用程序是否易受SQL注入攻擊
    應(yīng)用程序是否易受XSS攻擊
    3.身份驗(yàn)證
    是否區(qū)分公共訪問和受限訪問
    是否明確服務(wù)帳戶要求
    是否在網(wǎng)絡(luò)中傳遞明文憑據(jù)
    是否實(shí)現(xiàn)自己的用戶存儲
    是否使用表單身份驗(yàn)證
    是否使用SQL身份驗(yàn)證
    是否使用進(jìn)程帳戶
    是否使用服務(wù)帳戶
    是否考慮使用匿名Internet用戶身份
    是否使用原始用戶身份
    如何保存數(shù)據(jù)庫連接字符串
    是否強(qiáng)制使用強(qiáng)帳戶管理措施
    4.授權(quán)
    是否使用深層防御策略
    使用了哪些網(wǎng)關(guān)守衛(wèi)
    是否使用基于角色的方法
    角色是否提供足夠的特權(quán)隔離
    設(shè)計是否使用代碼訪問安全性
    應(yīng)用程序使用哪些身份
    5.配置管理
    是否支持遠(yuǎn)程管理
    是否保存配置存儲的安全
    是否隔離管理員特權(quán)
    6.敏感數(shù)據(jù)
    是否存儲機(jī)密信息
    是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)
    是否記錄敏感數(shù)據(jù)
    7.會話管理
    如何交換會話標(biāo)識符
    是否限制會話生存期
    如何確保會話狀態(tài)存儲的安全
    8.加密
    是否開發(fā)自己的加密技術(shù)
    是否使用合適的密鑰大小來應(yīng)用正確的算法
    如何確保加密密鑰的安全性
    9.異常處理
    是否使用結(jié)構(gòu)化的異常處理
    是否向客戶端公開太多的信息
    10.審核和日志記錄
    是否明確了要審核的關(guān)鍵活動
    是否考慮過如何流動原始調(diào)用者身份
    二.應(yīng)用及傳輸安全
    1.注冊與登錄
    2.在線超時
    3.操作留痕
    4.備份與恢復(fù)
    5.HTTPS和SSL測試
    6.服務(wù)器端的腳本漏洞檢驗(yàn)
    7.防火墻測試