web的安全性（轉貼）

一個完整的Web安全體系測試可以從部署與基礎結構，輸入驗證，身份驗證，授權，配置管理，敏感數據，會話管理，加密，參數操作，異常管理，審覈和日誌記錄等幾個方面入手.
數據加密： 某些數據需要進行信息加密和過濾後才能進行數據傳輸，例如用戶信用卡信 息、用戶登陸密碼信息等。
此時需要進行相應的其他操作，如存儲到數據庫、解密發送要用戶電子郵箱或者客戶瀏覽器。
目前的加密算法越來越多，越來越複雜，但一般數據加密的過程時可逆的，也就是說能進行加密，同時需要能進行解密！
登錄： 一般的應用站點都會使用登錄或者註冊後使用的方式，因此，必須對用戶名 和匹配的密碼進行校驗，以阻止非法用戶登錄。
在進行登陸測試的時候，需要考慮輸入的密碼是否對大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登錄，
哪些頁面或者文件需要登錄後才能訪問/下載等。超時限制：WEB應用系統需要有是否超時的限制，
當用戶長時間不作任何操作的時候， 需要重新登錄才能使用其功能。

SSL： 越來越多的站點使用SSL安全協議進行傳送。SSL是Security Socket Lauer(安全套接字協議層)的縮寫，
是由Netscape首先發表的網絡數據安全傳輸協議。SSL是利用公開密鑰/私有密鑰的加密技術。
（RSA），在位於HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。
SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數據，
但解密數據必須要通過相應的私人密鑰。
進入一個SSL站點後，可以看到瀏覽器出現警告信息，然後地址欄的http變成https，
在做SSL測試的時候，需要確認這些特點，以及是否有時間鏈接限制等一系列相關的安全保護。
服務器腳本語言：腳本語言是常見的安全隱患。每種語言的細節有所不同。有些 腳本允許訪問根目錄。其他只允許訪問郵件服務器，
但是經驗豐富的***可以將服務器用戶名和口令發送給他們自己。找出站點使用了哪些腳本語言，並研究該語言的缺陷。
還要需要測試沒有經過授權，就不能在服務器端放置和編輯腳本的問題。
最好的辦法是訂閱一個討論站點使用的腳本語言安全性的新聞組。  
注：***利用腳本允許訪問根目錄的這個安全隱患特性***網站。
這個網站包含了腳本代碼（有允許訪問根目錄的特性）就可能有這個安全隱患。
日誌文件： 在服務器上，要驗證服務器的日誌是否正常工作，
例如CPU的佔用率是否很高，是否有例外的進程佔用，所有的事務處理是否被記錄等。
目錄： WEB的目錄安全是不容忽視的一個因素。
如果WEB程序或WEB服務器的處理不適當，通過簡單的URL替換和推測，會將整個WEB目錄完全暴露給用戶，
這樣會造成很大的風險和安全性隱患。
我們可以使用一定的解決方式，如在每個目錄訪問時有index.htm,或者嚴格設定WEB服務器的目錄訪問權限，
將這種隱患降低到最小程度。  
注：每個目錄訪問時有index.htm 
目的： 通過首頁中的登陸驗證功能進行訪問權限控制。