随着网络发展的趋势，对于网站的安全性的要求也越来越高，很多网站都存在被黑客攻击的漏洞，你在网站测试中有做到安全性测试吗？你觉得安全测试应该从哪些方面来检查？现在来看看从应用层安全和数据安全两方面该如何进行测试：

　　应用层安全：

　　1.自份鉴别

　　网站是否有身份标识和鉴别功能

　　网站是否有登录失败处理功能

　　网站用户密码复杂度

　　是否使用验证码，验证码是否有效，功能是否正确实现

　　是否允许不登录直接进入网站管理页面

　　网站管理页面是否配备并使用登录失败处理功能

　　管理页面是否有超时限制的功能

　　2.访问控制

　　是否提供访问控制机制

　　不同权限用户的访问内容是否受到应用系统的限制

　　日志是否保存在NTFS分区，是否只有管理员可以访问

　　3.软件容错

　　对用户界面输入的数据是否进行有效性、合法性校验，可否防止SQL注入

　　系统异常时是否提供错误类型和异常发生点的信息

　　4.代码安全

　　设计/验收文档和相关证明材料，是否有对应用程序进行恶意代码扫描，确认不存在恶意代码的声明

　　是否存在源代码暴露

　　是否将站点内容的根目录与服务器操作系统放在不同的磁盘上或逻辑分区上

　　5.网页防篡改

　　是否能够实时监测到网页内容被篡改和破坏

　　当网页被篡改或破坏时，是否能够按设定的安全策略方式（如短信、邮件等）自动报警

　　是否能够自动恢复WEB服务器上被篡改和破坏的网页文件

　　是否能够自动恢复被篡改和破坏的数据库内容

　　是否阻止从网站直接访问到文件目录

　　WEB服务器上的网页文件是否加密存放，以防止不正当的篡改和泄露

　　合法网页的发布（增加、修改和删除）是否必须通过自动发布子系统进行

　　是否可以绕过防篡改检测机制

　　可否阻止连续篡改攻击

　　6.软件版本及补丁

　　WEB服务器软件版本，是否及时进行补丁升级

　　应用服务器版本，是否及时进行补丁升级

　　网站支持软件、插件等是否最新版本，是否及时进行补丁升级

　　数据安全考虑问题：

　　1.系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）

　　2.系统数据的完整性

　　3.系统数据可管理性

　　4.系统数据的独立性

　　5. 系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）
 

 本站技术原创栏目文章均为中睿原创或编译，转载请注明：文章来自中睿，本站保留追究责任的权利。