网站安全性测试方法（系统安全测试报告）

随着因特网的不断发展，人们对网络的使用越来越频繁，通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证，一些黑客利用站点安全性的漏洞来窃取用户的信息，使用户的个人信息泄漏，所以站点的安全性变得很重要。bb9快乐收录网

Web 系统的安全性测试包括以下内容：bb9快乐收录网

(1)Web 漏洞扫描bb9快乐收录网

(2)服务器端信息测试bb9快乐收录网

(3)文件和目录测试bb9快乐收录网

(4)认证测试bb9快乐收录网

(5)会话管理测试bb9快乐收录网

(6)权限管理测试bb9快乐收录网

(7)文件上传下载测试bb9快乐收录网

(8)信息泄漏测试bb9快乐收录网

(9)输入数据测试bb9快乐收录网

(10)跨站脚本攻击测试bb9快乐收录网

(11)逻辑测试bb9快乐收录网

(12)搜索引擎信息测试bb9快乐收录网

(13)Web Service 测试bb9快乐收录网

(14)其他测试bb9快乐收录网

本章节主要给大家介绍第(8)点——信息泄漏测试bb9快乐收录网

消息泄漏测试主要是测试系统泄露敏感信息的风险。敏感信息包括数据库连接地址、账号和口令等信息，服务器系统信息，Web 服务器软件名称、版本，Web 网站路径，除html 之外的源代码，业务敏感数据等。bb9快乐收录网

主要包括以下几方面内容：bb9快乐收录网

>> 数据库账号密码测试bb9快乐收录网

 >>客户端源代码敏感信息测试bb9快乐收录网

 >>客户端源代码注释内容测试bb9快乐收录网

>> 异常测试bb9快乐收录网

 >>不安全的存储测试bb9快乐收录网

 >>Web 服务器状态信息测试bb9快乐收录网

 >>HappyAxis.jsp 页面测试bb9快乐收录网

(1)数据库账号密码测试bb9快乐收录网

测试连接数据库的账号密码在配置文件中是否以明文方式存储，如果是，就很容易被恶意维护人员获取，从而直接登录后台数据库进行数据篡改。bb9快乐收录网

测试时找到连接数据库的账号密码所在的配置文件，查看配置文件中的账号密码是否被加密。bb9快乐收录网

(2)客户端源代码敏感信息测试bb9快乐收录网

客户端源代码敏感信息测试主要是测试Web 页面的HTML 源代码中是否包含口令等敏感信息，特别关注修改口令、带有星号口令的Web 页面。bb9快乐收录网

测试进入一个有敏感信息的页面(如带有修改口令的页面)，单击右键查看源文件，源文件中不应包含明文的口令等敏感信息。bb9快乐收录网

(3)客户端源代码注释内容测试bb9快乐收录网

如果开发版本的Web 程序所带有的注释在发布版本中没有被去掉，也可能会导致一些敏感信息泄漏，测试时应该注意页面源代码中是否存在此类安全隐患。bb9快乐收录网

测试进入一个有敏感信息的页面(如带有修改口令的页面)，单击右键，查看源文件中有关注释信息是否包含明文的口令等敏感信息。bb9快乐收录网

(4)异常测试bb9快乐收录网

异常测试主要是通过构造一些异常的条件来访问Web 系统，观察其返回的信息来判断系统是否存在信息泄漏的问题。通常异常处理包括三种情况：不存在的URL、非法字符和逻辑错误。bb9快乐收录网

1)不存在的URL 主要是测试当客户提交不存在的URL 时，Web 系统返回的信息，观察返回信息中是否包含敏感信息。例如输入一个不存在的URL(bb9快乐收录网
http://192.168.3.9/unexist.jsp)，观察返回的错误信息中是否包含敏感信息。bb9快乐收录网

2)非法字符导致信息泄漏是指，当用户提交包含特殊字符的URL 时，Web 系统可能返回错bb9快乐收录网

误的信息，通过错误信息来判断是否存在敏感信息的泄漏问题。测试时在正常的URL 的参数中添加特殊字符%、*、;、’、?，如以下URL：bb9快乐收录网

http://www.exmaple.com/page.xxx?name= value%bb9快乐收录网

http://www.exmaple.com/page.xxx?name= value*bb9快乐收录网

观察返回的信息，返回信息中不应包含敏感信息。bb9快乐收录网

3)逻辑错误是指Web 应用在处理一些具有逻辑错误的请求时，可能会返回错误的信息，通过返回的错误信息来确认是否有敏感信息的泄漏问题。测试时根据详细说明书，尽可能地尝试使用违背业务逻辑处理的参数来访问Web 系统并观察Web 系统返回的异常信息。bb9快乐收录网

(5)不安全的存储测试bb9快乐收录网

不安全的存储测试主要是测试存储在服务器上的配置文件、日志、源代码等是否存在漏洞，该项测试没有具体的指导方法，测试时主要关注以下几个问题：bb9快乐收录网

 >>上传文件所在的目录(包括临时目录)能否被直接远程访问。bb9快乐收录网

 >>服务器配置文件目录或日志所存放的目录能否被直接访问。bb9快乐收录网

>> 公用文件头(如数据库链接信息、源代码头文件等)是否采用不被服务器处理的后缀(如inc 作为文本格式直接输出)进行存储。bb9快乐收录网

>> 在日志或数据库中是否能查找到明文的敏感信息。bb9快乐收录网

(6)Web 服务器状态信息测试bb9快乐收录网

Web 服务器状态信息测试主要是测试Web 服务器默认提供的服务器状态信息查询功能，是否会泄漏系统信息，进而存在被攻击的可能性。测试时进入Web服务器状态信息页面http://192.168.1.9/status?full=true，观察页面返回的信息，检查页面中是否包含服务器的敏感信息。bb9快乐收录网

说明：该方法适用于Tomcat 和JBoss 服务器bb9快乐收录网

(7)HappyAxis.jsp 页面测试bb9快乐收录网

HappyAxis.jsp 页面测试主要是测试HappyAxis.jsp 页面中是否存在一些服务器的敏感信息。对于使用Axis 来发布的Web Service，默认是保存HappyAxis.jsp 页面。测试步骤如下：bb9快乐收录网

步骤1：登录Web 服务器的操作系统bb9快乐收录网

步骤2：在系统中查找HappyAxis.jsp 文件bb9快乐收录网

步骤3： 使用查找到的目录信息来构造访问HappyAxis.jsp 页面的URL，并进行访问，如bb9快乐收录网

http://192.168.1.9/axis3/happyaxis.jspbb9快乐收录网

如果能正常访问HappyAxis.jsp 文件，说明系统存在漏洞。bb9快乐收录网

bb9快乐收录网

　　《网站安全性测试方法（系统安全测试报告）》更新于时间：2022-07-12 21:52:49；由本站小编进行发布，目前浏览的小伙伴达到，感谢你们的支持，后期快乐收录网小编会继续为大家更新更多相关的文章，希望广大网友多多关注快乐收录网工作心得栏目，如果觉得本站不错，那就给我们一个分享的支持吧！

网站安全性测试方法（系统安全测试报告）特别声明

本站快乐收录网提供的网站安全性测试方法（系统安全测试报告）都来源于网络，不保证文章的准确性和真实性，同时，对于该文章所造成的影响，不由快乐收录网实际控制，在2022-07-12 21:52:49收录时，该网页上的内容，都属于合规合法，如有侵权违规，可以直接联系网站管理员进行整改或删除，快乐收录网不承担任何责任。

快乐收录网：致力于优质、实用的网络站点资源收集与分享！本文地址：https://nav.klxjz.cn/zixundaquan/wzyh/202207/8709.html转载请注明

标签：