web安全測試有哪些目的

安全性測試的目的是儘可能地把網路架構層面的有意無意的問題查找出來，對於web系統來說是一個標準的網路協議結構，它是以瀏覽器為載體的，瀏覽器相關的安全性漏洞我們需要去發現，網頁是用來與使用者進行互動的，負面的操作是通過JavaScripts來執行指令碼的會繞過介面向伺服器傳送資料都會存在安全性隱患。

安全性測試的任務就是利用安全性測試技術，在產品未被正式釋出之前，查詢安全性測試的bug，發現安全性漏洞需要對安全性漏洞進行修復，避免漏洞被非常使用者進行攻擊，這樣對伺服器或者資料與錢相關的金融資料帶來安全隱患，安全性測試的目的就是去發現這些安全性的問題，從而修復安全性測試的漏洞，讓使用者使用我們的系統更放心更安全。

但是往往安全性漏洞往往不容易發現，也不可能完全發現因為我們的黑客攻擊技術過於複雜，無論我們怎麼樣避免一定要為使用者提供服務，一定要開放一些埠需要給使用者提供一些輸入的介面，非常使用者可以通過輸入的方式開啟80埠掃描的方式或者通過URL地址的引數方式進行SQL注入都有可能給我們的系統注入一些非常的程式碼。

我們要實施安全性測試的目的是，盡最大努力快速發現系統中安全性測試的漏洞與隱患，然後修改漏洞。

我們在學習安全性測試之前需要具備一定的網路協議、效能測試、介面測試都是基於網路協議而開展，如果我們僅對前端JS進行過濾沒有對服務端進行過濾，如果繞開前端直接給伺服器傳送資料包這時候過濾不會生效，除了伺服器也進行了過濾。

例如：給你一個文字框只允許輸入數字，JS在瀏覽器進行了限制，但是伺服器端介面未進行限制，這時候使用者可以直接繞過前端直接向伺服器端傳送資料，這樣也會存在安全性bug。

安全性測試有哪些分類？

1、認證與授權

例如：使用者登入認證的操作，使用者登入後的角色所授予的許可權，從技術層面沒有特別之處，需要登入使用者進行登入，程式設計師在編寫程式時一定要意識到安全性的漏洞問題。

2、Session與Cookie

Session是儲存在伺服器端的一些檔案通過SessionID來儲存檔案，一般安全性較高問題不大，可以直接對伺服器的資料進行讀取。

Cookie是儲存在客戶端的，如果Cookie資訊被使用者獲取到，就會被人利用漏洞對系統進行攻擊。

3、DDOS拒絕服務攻擊

不斷地向伺服器傳送請求的情況，佔用伺服器的連線資源，讓伺服器的資源消耗完成，無論向伺服器正常提供服務的情況叫作DDOS拒絕攻擊，這種情況一般比較難防範，一般傳送的請求都是正常的，伺服器並不知道是DDOS攻擊的情況，如果某些資源達到瓶頸系統就會導致癱瘓。

4、檔案上傳漏洞

一般使用者端向伺服器端提交檔案時，如果使用者傳遞了一個可執行的檔案指令碼是一個木馬，這樣就可以達到攻擊伺服器的目的。

5、XSS跨站攻擊漏洞

XSS攻擊一般對伺服器沒有影響，對使用者會產生影響，例如：網頁上存放某個指令碼，其它使用者操作網站的內容就不小心點選到了對伺服器沒有影響，通過跨站攻擊就可以獲取SessionID對網站進行非法操作就是Cookie欺騙。

還有一種情況就是使用者模擬了一個釣魚網站，讓我們錯誤認識是自己的網站，輸入一些與錢相關的敏感資訊，獲取使用者的相關資料，容易入侵，從而導致一系列安全隱患問題。

6、SQL注入

可能通過任何可以輸入的地方都能達到SQL注入的目的。

例如：登入框、檔案輸入框等相關功能都是一種普遍的攻擊方式。