在你对Web应用所执行的测试中,安全测试可能是最重要的,但它却常常是最容易被忽略的。本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。
本书中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。
本书将帮助你:
·获取、安装和配置有用的——且免费的——安全测试工具
·理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击
·从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择
·作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复
不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具,你可以将安全因素加入到你的测试套装中,从而得以睡个安稳觉。
Web安全测试是在Web应用开发过程中不可或缺的一个环节,它确保了Web应用在面对恶意攻击时能够保持稳定和安全。然而,现实中Web安全测试往往得不到应有的重视,可能是因为开发人员对它的复杂性有所畏惧,或是因为项目时间表的限制。然而,本书提供了一系列的技巧和方法,旨在帮助开发人员和测试人员在进行常规测试时,能够同时进行有效的Web安全测试。
Web安全测试的基础知识包括了客户端与服务器间通信的观察,即对客户端与服务器之间传输的消息进行分析。这些信息可以是URL参数、Cookie值、HTTP头部信息以及表单数据等。了解这些信息的传输方式和内容,有助于发现潜在的安全问题。
使用脚本来自动化执行登录以及其它Web应用功能是Web安全测试的一个重要环节。通过脚本模拟用户交互,可以快速检查在正常和非正常条件下Web应用的行为,从而测试出是否存在安全漏洞。
书中还提到了对Ajax函数的精确定位测试,以及构建大型多级测试来检测像跨站脚本(XSS)和注入攻击这类常见且危害严重的安全漏洞。跨站脚本攻击是一种常见的网络攻击,攻击者会在Web页面中嵌入恶意的HTML代码,当其他用户浏览该页面时,嵌入的代码会被执行,从而达到攻击者的目的。注入攻击,特别是SQL注入,是利用了Web应用对用户输入的处理不当,攻击者通过向输入字段提交恶意的SQL代码片段,可能会获取敏感数据、破坏数据,甚至是控制整个数据库服务器。
为了帮助读者在实践中更好地实施Web安全测试,本书还提供了关于如何获取、安装和配置有用的(且免费的)安全测试工具的具体指南。工具的使用能够极大提高测试的效率和质量。同时,工具能够帮助模拟各种攻击场景,对于测试人员来说,能够从攻击者的角度去思考和发现潜在的安全漏洞。
除了技术和工具,本书还强调了对应用通信方式的理解。这种理解能够帮助测试人员在进行安全测试时,更加精准地模拟攻击者的行为。了解应用如何与用户通信,如何处理数据,是构建有效测试用例的关键。例如,测试人员需要了解隐藏表单域可能被用户如何操纵,从而对这部分进行安全测试。
书中还提到了选择模拟常见攻击方法的重要性。针对不同类型的Web应用,攻击者可能会使用不同的攻击手段。因此,测试人员需要了解和掌握多种攻击手段,并根据实际应用情况选择合适的测试方法。
自动化测试是提高测试效率和保证测试质量的关键。通过使用本书中的脚本和例子,可以将Web安全测试工作变得可重复。这不仅提高了工作效率,还确保了测试的一致性和准确性。重复性测试还意味着可以在软件的生命周期中持续进行安全测试,而不仅仅是开发周期的某个阶段。
总而言之,Web安全测试是一项综合性的工作,它需要测试人员掌握一定的技能和知识,了解相关的工具和技术,并能够将其融入到日常的测试工作中。通过本书提供的技巧和方法,可以确保Web应用在发布前已经过严格的安全测试,从而减少安全漏洞被利用的风险,保证用户数据的安全和Web应用的稳定运行,让用户能够安心使用Web应用,让开发人员和测试人员能够睡个安稳觉。
