安全测试是功能测试中非常重要的一部分,测试人员确保应用产品的安全性足以阻止黑客或非法用户访问应用程序。下面我们将讨论测试任何软件应用安全性,需要注意的各种安全测试点。
我们知道,今天几乎所有的服务,如注册,银行,购物,销售,招标等都可以在线实现,消费者和服务提供商之间存在大量的安全数据和资金信息。随着使用信用卡,资金转帐等网络购物的现象,从互联网上访问这些细节后,黑客识别和窃取机密数据的风险有所增加。因此,开发和测试一个安全的Web应用程序,以防止所有非法访问用户的机密信息,这是最大的挑战之一。
在测试任何Web应用程序的安全性时,应注意以下几点:
1、内部网或安全网络:仅由组织或公司使用的,关键的Web应用程序,采用安全网络或内部网。这里的安全测试应该始终确保用户:只有当他或她在这个私人网络中时才能登录,并且无法通过任何方式在这个安全网络之外访问Web应用程序。
2、常规访问检查点:对正在访问系统的活动用户进行检查,并对仍在项目中的用户访问做限制,并立即删除或暂停与该组织不在一起的团队成员的访问。
3、设置权限级别:在任何Web应用程序中,不能每个人都是管理员或可以完全访问每个应用程序模块。安全测试应确保在应用程序中,具有指定级别权限的用户(如只读,编辑,删除等)只能在项目应用程序中执行这些操作。
4、IP地址屏蔽:为了防止Web应用程序被其他国家经常黑网站的黑客用户访问。可以通过IP屏蔽来实现,确保:尝试从黑客的国家/地区登录,网络应用程序根本不会在那里被打开。
5、Cookie:Cookies用于将用户的信息存储到本地浏览器缓存中,以便使用它们的站点。服务器在同一台计算机上使用浏览器时发送详细信息以验证用户。由于用户的信息是在本地机器上的,因此用户配置文件安全很容易被黑客攻击。从安全测试的角度来看,应该始终确保浏览器中存储的用户信息被加密,并且服务器具有正确的解密密钥。此外,网站应避免将密码和其他安全凭证保存到Cookie中。Cookie最适用于购物网站,凡购物的物品可以存储到这些购物车中。同样,Cookie应该编程控制,如存储的信息在长时间内不使用后应过期。
6、加密和解密:登录网站的安全系统应在加密后将用户标识和密码存储到数据库中,从而不能从数据库读取。登录网站系统时,应该能够在身份验证过程中解密这些详细信息。对于前端用户以及数据库级别的后端用户来说,密码和安全性问题的答案绝对不可见。这是最好的认证安全。
7、使用日志记录器:日志记录器是服务器生成的文件,显示健康状况和Web应用程序的功能。记录器具有不同的级别,如信息,调试,错误,致命等。根据这些级别,可以管理日志的详细程度。信息级别具有最高的冗长度,而致命级别具有最低的冗长度。测试人员应该确保服务器的日志记录器不会向黑客或恶意用户抛出任何安全信息,如密码、安全答案等。记录器应该始终不那么冗长,通常设置在错误级别,以便Web应用程序投入生产环境后,用于诊断技术问题。
8、黑客攻击:通常黑客在Web应用程序中批量加载大量数据,以便破坏系统。Web应用程序应该足够强大,可以承受此批量登录数据,如果偶然的任何用户ID尝试使用错误的密码登录超过三次,那么它应该立即被封锁,并通过电子邮件或短信通知用户和网站安全事件团队。
总之,Web应用程序测试确实是一项具有挑战性的工作,测试人员必须像黑客一样采取行动,以打破系统的安全性。这样做,项目团队将更加专注于建立更先进的安全功能,从而实现基于Web的强大应用。