(一)WEb安全测试执行的时候,对于被测试的系统,都会差生一些或大或小的影响,所以在进行Web安全测试的时候,一般只在测试环境中进行,要自己搭建环境,一般的公司都有一套自己的测试环境可以专门来做WEb产品发布之前的安全测试。那么如果在现网中测试,必须配置专门的数据,安全测试是一门非常谨慎的测试活动,所以除了测试用来测试的数据其他的数据都不可以进行测试(修改删除)。
(二)内部测试的时候可以去掉一些安全防护的软件(防火墙,保护措施设备等)这样可以保证发现的安全漏洞会更多一点。去掉屏蔽的安全防护门,是专门从内部上考虑Web安全的漏洞。
(三)测试得时候根据不同的标准来测试,可以按照产品线的安全标准要求,或者产品自身的安全标准类测试。同时测试也是分开的由多个安全项组成的,如密码复杂度安全测试,系统稳定测试,某一个特定的漏洞测试等。
网站管理员在管理网站的时候买很多情况下会对程序或者页面进行备份, 如ultradeit在修改之后文件名加bak后缀,攻击者可以访问这些文件备份的路径可以直接下载文件。
版本控制软件SVN备份文件测试,在开发环境使用版本控制软件管理代码,常使用所谓SVN,AVN在代理管理代码的过程中会自动生成一个.SVN 的隐藏文件, SVN目录还抱哈了以 SVN-base结尾的源代码文件副本,但是一些网站管理员在发布代码时候不愿意使用导出功能,而是直接复制代码文件到WEB服务器上,使得 .SVN隐藏文件被暴力与外网环境,黑客可以截止其中包含的英语版本信息跟踪的“entries”文件,逐步摸清站点的结构。 如果发现存在SVN漏洞可以使用Seasy-SVN 软件吧把整个站点下载下来,或者实现在线管理。
(四)认证测试 ,暴力测试的工具也比较多,BUrpSuite 中的attack, kali linux中也集成可大量的暴力破解的工具,比如像 hydra ,另外APPScan中集成了AuthenticationTester工具都可用来进行账户的认证测试的暴力破解。