多年测试经验分享：上市公司怎么进行安全测试

软件安全性测试主要包括程序、数据库安全性测试。

系统安全指标不同测试策略也不同。

一、用户身份认证安全的测试要考虑问题：

1.明确区分系统中不同用户权限

2.用户登陆密码是否是可见、可复制

3.系统的密码策略，通常涉及到隐私，钱财或机密性的系统必须设置高可用的密码策略。

4.系统中会不会出现用户冲突

5.是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）

6.系统会不会因用户的权限的改变造成混乱

7.用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统

二、数据库安全需要考虑的问题：

1.系统数据可管理性和独立性

2.系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）

3.系统数据是否机密（像一些对数据比较在意的系统，比如银行，就一定得考虑这个问题）

4.系统数据的完整性（系统一旦存在数据的不完整，对于这个系统的功能实现有了障碍）

三、系统网络安全的测试要考虑问题：

1.采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是 NBSI系列和 IPhacker IP ）

2.模拟非授权攻击，看防护系统是否坚固

3.测试采取的防护措施是否正确装配好，有关系统的补丁是否打上

4.采用各种防外挂工具检查系统各组程序的客外挂漏洞

5.采用各种木马检查工具检查系统木马情况

四、web安全测试方法：

首页可以对网站进行大规模的扫描操作，工具扫描确认没有漏洞或者漏洞已经修复后，再进行以下手工检测。

免费的扫描器：W3af 、Skipfish 根据业务资金，可以考虑购买商业扫描软件，也可以使用免费的，各有各的好处

工具扫描：目前web安全扫描器针对OSinjection， XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。

商业软件web安全扫描器：有IBM Rational Appscan、WebInspect、Acunetix WVS 、burp suite。

五、详细的测试点：

1.目录文件：验证WEB服务器目录访问权限或者每个目录访问时有index.htm，防止 WEB 服务器处理不适当，将整个目录暴露

2.密码内容禁止拷贝粘贴

3.不安全对象引用：不安全对象的引入，访问敏感文件和资源，WEB应用返回敏感文件内容

4.在登录或注册功能中是否有验证码存在，防止恶意大批量注册登录的攻击

5.恶意文件执行：在服务器上执行Shell 命令Execute，获取控制权

6.被破坏的认证和Session管理：验证Session token 保护措施，防止盗窃session

7.数据库关键数据是否进行加密存储，是否在网络中传递敏感数据

8.不安全的木马存储：过于简单的加密技术导致黑客破解编密码，隐秘信息被盗窃，验证其数据加密

9.注册与登录测试：验证系统先注册后登录、验证登录用户名和密码匹配校验，密码长度及尝试登录次数，防止非法用户登录

10.URL访问限制失效：验证是否通过恶意手段访问非授权的资源链接，强行访问一些登陆网页，窃取敏感信息

11.配置管理：验证是否支持远程管理、是否保证配置存储安全、是否隔离管理员特权

12.不安全的通讯：敏感信息在不安全通道中以非加密方式传送，敏感信息被盗窃，验证其通讯的安全性

13.超时限制：验证WEB应用系统需要有是否超时的限制，当用户长时间不做任何操作的时候，需要重新登录才能使用

14.日志文件：验证服务器上日志是否正常工作，所有事务处理是否被记录

15.跨网站脚本攻击：通过脚本语言的缺陷模拟合法用户，控制其账户，盗窃敏感数据

16.身份验证：验证调用者身份、数据库身份、验证是否明确服务账户要求、是否强制式试用账户管理措施

17.授权：验证如何向最终用户授权、如何在数据库中授权应用程序，确定访问系统资源权限

18.Cookie文件是否进行了加密存储，防止盗用cookie内容

19.信息泄露和不正确错误处理测试：恶意系统检测，防止黑客用获取WEB站点的具体信息的攻击手段获取详细系统信息

20.备份与恢复：为了防止系统意外崩溃造成的数据丢失，验证备份与恢复功能正常实现、备份与恢复方式是否满足Web系统安全性要求

21.Session的失效时间限制：Session的失效时间设置是否过长，会造成访问风险

22.伪造跨站点请求：发起Blind 请求，模拟合法用户，要求转账等请求

23.会话：验证如何交换会话标识符、是否限制会话生存期、如何确保会话存储状态安全

24.密码强度提醒：建议对密码的规则进行加强设置

25.注入攻击：通过构造查询对数据库、LDAP和其他系统进行非法查询

六、浏览器安全需要考虑的问题：

同源策略：不同源的“document”或脚本，不能读取或者设置当前的“document”

同源定义：host（域名，或者IP），port（端口号），protocol（协议）三者一致才属于同源。

要注意的是，同源策略只是一种策略，而非实现。这个策略被用于一些特定的点来保护web的安全。