盡管已經(jīng)對(duì)Web應(yīng)用程序滲透測(cè)試進(jìn)行了非常詳細(xì)的研究，但我們中的很多人可能還是第一次接觸到這個(gè)術(shù)語(yǔ),那么該如何選擇軟件測(cè)評(píng)機(jī)構(gòu)來(lái)幫助測(cè)試呢？一航軟件測(cè)評(píng)的小編在下面的文章非常高的層次上介紹了Web應(yīng)用程序測(cè)試所涵蓋的多個(gè)領(lǐng)域和如何選擇靠譜的軟件測(cè)評(píng)機(jī)構(gòu)。

什么是Web應(yīng)用程序安全測(cè)試？

       簡(jiǎn)單地說(shuō)，測(cè)試一個(gè)Web應(yīng)用程序的安全性是指對(duì)應(yīng)用程序固有的安全性的測(cè)試。為了暴露應(yīng)用程序的漏洞和技術(shù)故障，組織需要實(shí)施包羅萬(wàn)象的安全測(cè)試策略。這與萬(wàn)無(wú)一失的風(fēng)險(xiǎn)緩解計(jì)劃一起，可以為完全安全的web應(yīng)用程序提供一個(gè)很好的方法。

Web 應(yīng)用滲透測(cè)試包括以下 10 個(gè)測(cè)試：

       1.信息收集：信息收集測(cè)試除了對(duì)整個(gè) Web 應(yīng)用程序、服務(wù)器和框架進(jìn)行指紋識(shí)別外，還包括對(duì)任何信息泄漏（跨元文件、網(wǎng)頁(yè)評(píng)論和元數(shù)據(jù)）進(jìn)行搜索和審查等活動(dòng)。

       2.配置和部署管理測(cè)試：即使是部署服務(wù)器配置中的一個(gè)微小錯(cuò)誤也會(huì)使 Web 應(yīng)用程序不穩(wěn)定和脆弱。因此，正確測(cè)試配置管理是一項(xiàng)必須執(zhí)行的關(guān)鍵業(yè)務(wù)活動(dòng)。這包括測(cè)試應(yīng)用程序平臺(tái)的配置、基礎(chǔ)設(shè)施、舊文件或包含敏感數(shù)據(jù)的文件、HTTP 安全性等活動(dòng)。

       3.身份管理測(cè)試：身份管理測(cè)試對(duì)于建立應(yīng)用程序品牌非常重要。這包括測(cè)試用戶(hù)注冊(cè)和帳戶(hù)管理等流程、如何指定角色定義以及用戶(hù)名是否強(qiáng)。

       4.身份驗(yàn)證測(cè)試：身份驗(yàn)證測(cè)試用于驗(yàn)證人和產(chǎn)品的數(shù)字身份和真實(shí)性，例如嘗試訪問(wèn)系統(tǒng)的人的真實(shí)身份。身份驗(yàn)證測(cè)試涉及測(cè)試憑據(jù)、密碼強(qiáng)度和安全問(wèn)題等。

       5.授權(quán)測(cè)試：認(rèn)證測(cè)試成功后進(jìn)入授權(quán)過(guò)程。授權(quán)測(cè)試用于檢查系統(tǒng)的登錄權(quán)限以及為繞過(guò)檢查和其他權(quán)限設(shè)置而設(shè)置的規(guī)則。

       6.會(huì)話(huà)管理測(cè)試：會(huì)話(huà)管理是控制用戶(hù)和 Web 應(yīng)用程序之間所有交互（登錄到注銷(xiāo)）的核心活動(dòng)?？紤]到這些交互取決于站點(diǎn)的安全性、性質(zhì)等，會(huì)話(huà)管理測(cè)試包括對(duì) cookie、模式、暴露的會(huì)話(huà)變量、會(huì)話(huà)超時(shí)等的測(cè)試。

       7.輸入驗(yàn)證測(cè)試：不完整或不正確的輸入驗(yàn)證會(huì)造成嚴(yán)重的應(yīng)用程序漏洞。驗(yàn)證測(cè)試用于測(cè)試所有類(lèi)型的輸入，包括多種形式的注入測(cè)試、跨站點(diǎn)腳本測(cè)試、緩沖區(qū)溢出、不同類(lèi)型的漏洞等。

       8.錯(cuò)誤處理：強(qiáng)大的錯(cuò)誤/異常處理策略有助于減少未捕獲錯(cuò)誤的機(jī)會(huì)，有助于隱藏黑客和惡意攻擊的關(guān)鍵信息，因此證明對(duì)于保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)非常重要。

       9.業(yè)務(wù)邏輯測(cè)試：測(cè)試業(yè)務(wù)邏輯恰好是最難的——如果測(cè)試不當(dāng)，也是最有害的。在不止一種情況下，它就像測(cè)試應(yīng)用程序的功能一樣，依賴(lài)于測(cè)試人員的業(yè)務(wù)流程技能和知識(shí)。一些常見(jiàn)的測(cè)試包括測(cè)試邏輯驗(yàn)證、檢查完整性、計(jì)時(shí)、誤用情況下的防御機(jī)制、上傳惡意或錯(cuò)誤的文件類(lèi)型等。

      10.客戶(hù)端測(cè)試：客戶(hù)端測(cè)試是指在客戶(hù)端測(cè)試代碼執(zhí)行，通常在 Web 瀏覽器或?yàn)g覽器插件中。這涉及測(cè)試一些注入類(lèi)型、腳本、websockets、web 消息傳遞等。

       以上就是Web 應(yīng)用程序滲透測(cè)試涵蓋的 10 個(gè)測(cè)試的相關(guān)介紹，對(duì)于軟件測(cè)評(píng)機(jī)構(gòu)的選擇一定要具備相關(guān)的資質(zhì)和有經(jīng)驗(yàn)豐富的測(cè)試團(tuán)隊(duì)支持的公司，一航軟件測(cè)評(píng)相信是各個(gè)公司的不二之選。一航軟件測(cè)評(píng)可以最快的制定出測(cè)試方案并檢測(cè)應(yīng)用軟件的安全問(wèn)題，出具權(quán)威的CMA軟件測(cè)試報(bào)告給到企業(yè)，滿(mǎn)足客戶(hù)所需。