可以從部署和基礎(chǔ)架構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密等方面進(jìn)行完整的web安全測(cè)試。參數(shù)操作、異常管理、，審核和記錄

部署拓?fù)涫欠癜ㄟh(yuǎn)程應(yīng)用程序服務(wù)器

D，以及傳遞給組件或web服務(wù)的參數(shù)是否已驗(yàn)證

web應(yīng)用程序系統(tǒng)的安全性從使用角度可分為應(yīng)用程序級(jí)安全性和傳輸級(jí)安全性，安全測(cè)試也可以從這兩個(gè)方面入手，應(yīng)用級(jí)安全測(cè)試的主要目的是找出web系統(tǒng)編程中隱藏的安全問(wèn)題。主要測(cè)試領(lǐng)域如下

注冊(cè)和登錄：目前的web應(yīng)用系統(tǒng)基本上采用登錄前注冊(cè)的方式

D.是否可以不登錄直接瀏覽頁(yè)面

在線超時(shí)：web應(yīng)用系統(tǒng)是否有超時(shí)限制，即用戶在登錄后一定時(shí)間（如15分鐘）內(nèi)是否沒(méi)有點(diǎn)擊任何頁(yè)面，以及是否需要重新登錄才能正常使用

操作跟蹤：為了保證web應(yīng)用系統(tǒng)的安全，日志文件非常重要。您需要測(cè)試相關(guān)信息是否寫入日志文件以及是否可以跟蹤

備份和恢復(fù)：為了防止意外系統(tǒng)崩潰導(dǎo)致的數(shù)據(jù)丟失，備份和恢復(fù)方法是web系統(tǒng)必不可少的功能。根據(jù)數(shù)據(jù)庫(kù)備份和完全備份的要求，系統(tǒng)可以采用數(shù)據(jù)庫(kù)備份和完全備份等方式。為了滿足更高的安全性要求，一些實(shí)時(shí)系統(tǒng)通常采用雙機(jī)熱備或多級(jí)熱備。除了對(duì)這些備份和恢復(fù)方法進(jìn)行驗(yàn)證測(cè)試外，還需要評(píng)估這些備份和恢復(fù)方法是否滿足web系統(tǒng)的安全要求

傳輸級(jí)安全測(cè)試是考慮web系統(tǒng)傳輸?shù)奶厥庑裕⒅攸c(diǎn)測(cè)試數(shù)據(jù)從客戶端傳輸?shù)椒?wù)器時(shí)可能存在的安全漏洞，以及服務(wù)器防止非法訪問(wèn)的能力。一般測(cè)試項(xiàng)目包括以下方面

HTTPS和SSL測(cè)試：默認(rèn)情況下，securehttp（SoureHTTPP）通過(guò)securesocketssl（源套接字層）協(xié)議在端口443上使用普通HTTP。公鑰的加密長(zhǎng)度決定了HTTPS的安全級(jí)別，但在某種意義上，安全性是以性能損失為代價(jià)的。除了測(cè)試加密是否正確，檢查信息的完整性，確認(rèn)HTTPS安全級(jí)別外，還應(yīng)注意其性能是否滿足此安全級(jí)別下的要求

服務(wù)器端腳本漏洞檢查：服務(wù)器端的腳本往往構(gòu)成安全漏洞，經(jīng)常被黑客利用。因此，我們還應(yīng)該測(cè)試腳本不能在未經(jīng)授權(quán)的情況下放置和編輯服務(wù)器端

防火墻測(cè)試：防火墻是路由器，主要用于防止非法訪問(wèn)。它是web系統(tǒng)中常見(jiàn)的安全系統(tǒng)。防火墻測(cè)試是一個(gè)主要課題。這里所涉及的只是測(cè)試防火墻的功能和設(shè)置，以判斷web系統(tǒng)的安全要求。