制作收工时需对网站有一个全面的安全测试

说到网站安全，那会就会想到黑客，谈到黑客，他们是一个隐蔽的、有着互联网高新技术的一个群体，他们热衷于对互联网新事物的研究和探寻，然而其中一部分人则利用技术手段，侵害第三方的利益，给网站所属的公司造成损失，从中谋取利益。还有一种是利用所把握的高技术，检测是不是存在什么漏洞并提示站长对网站纰漏进行修补以提升网站的安全性能。为了后期的安全着想，在网站制作收工时都需要对网站有一个全面的安全测试。

比如一些政府门户网站作为政府与民众联系的窗口，网站的安全性已经是迫在眉睫。这种网站制作完成后更需要对其进行安全测试，提前发现安全漏洞，避免页面挂马，及时发现安全漏洞，防患于未然。通过安全监控工具可以对当地主机、web服务器、网址等进行安全评价和纰漏检测，做出一整套全面解决方案的聚合，用于帮助政府信息管理部门侦测、描述和改进政府网站正面对的各种安全风险。总的来说就是将漏洞扫描、漏洞管理、漏洞修补、关联系统的安全日记集于一身，最后以安全评价报告的方式展现给政府信息管理与维护部门。

网站安全测试需要对网站的安全性，可能有的漏洞测试，袭击性测试，错误性测试。对电商的用户服务器应用程序、数据、服务器、网络、防火墙等进行测试，通常通过相关的软件进行检测。在大数据来临的时代，数据的安全性也是最重要的标准之一。例如ddos防御、sql防注入，代码的严谨性等等。除了定期备份定期检测之外，还需要注重服务器最新漏洞的修补，免得有想法的人有机可乘。

对网站数据进行备份，定期备份数据库,检测漏洞，系统升级。任何网站都有可能受到袭击，一旦网站出现漏洞，或者由于服务器原因访问不畅，势必就会影响到网站的搜索引擎排名，众所周知，搜索引擎网络爬虫是24小时都在抓取数据，一旦抓取不到网站数据，系统就有可能断定网站客户体验差，而做出降权处理，因此，经常性的对网站进行自检势在必行，发现漏洞及时修复。

关于一些开源网站的测试方式：大家在寻觅源代码的时候要找比较知名的源代码来修改，不要轻易下载个人开发的程序。可以到一些大型的源代码站去下载，这个站点的源代码他们自己也都检测过。源代码下载后要用杀毒软件扫描下，不管有没有用也要意思下。而后在当地调试，寻觅一切bug和漏洞，别等上线后才去修改bug，那样就不是安全性问题了，对搜索引擎的客户体验度很不好的!

使用检测工具来检测网站漏洞，从而避免网站被黑，自己开发的程序相比较来说漏洞很少，尤其是用的不开源程序aspnet，这种安全性要高，如果是那种套模板程序，比如开源程序漏洞尤其多，为了网站安全性，一定要在上线的时候，进网站进行检测，检测工具有很多，搜索引擎网站安全检测、安全狗等等，这类工具还是有很多，关键是大家一定要去做，如果是服务器，就在服务器上去安装防护软件。

　网站发布前要进行细致周密的测试，以保证正常浏览和使用。主要测试内容：

　1、服务器稳定性、安全性。

　望站服务器的稳定和安全一直都是最头疼的事情，所以我们应该走到麻烦的前面，首先把预想到的麻烦排除掉。

　Web服务器搭建完成上线在即，其能够承载多大的访问量，响应速度、容错能力等性能指标，所有这些是管理人员最想知道也最为担心的。如何才能知晓这一切呢通过工具进行Web压力测试是个好方法。通过它可以有效地测试Web服务器的运行状态和响应时间等性能指标。

　2、程序及数据库测试。

　每个程序都有自己相对应的功能，数据库则是数据集中的地方，尤其重要。

　数据库开发既然在软件开发的比重逐步提高，随之而来的问题也突出。我们以前往往重视对代码的测试工作，随着流程技术的日益完善，软件质量得到了大幅度的提高，但数据库方面的测试仍然处于空白。我们从来没有真正将数据库作为一个独立的系统进行测试，而是通过对代码的测试工作间接对数据库进行一定的测试。随着数据库开发的日益升温，数据库测试也需要独立出来进行符合自身特点的测试工作。

　在进行性能测试的时候，一定要注意环境的一致，包括：操作系统、应用软件的版本以及硬件的配置等，而且在进行数据库方面的测试的时候一定要注意数据库的记录数、配置等要一致，只有在相同条件下进行测试，才可以对结果进行比较。

　3、网页兼容性测试，如浏览器、显示器。

　网页打开多了 不会出现死页的情况，当然也有显示器的分辨率和浏览器的版本问题存在。

　使用不同的浏览器访问同一个网站，或者页面的时候，在一种浏览器下显示正常，在另一种下就乱了。这是因为不同的浏览器对于网站CSS的解释不同。

　常见的浏览器兼容性问题，主要表现在如下两方面;

　1) 页面显示

　页面显示的美观性是Web应用程序中重要需求，不同浏览器上呈现给用户的同一个Web页面可能显示的不一样。这些差异性主要表现在对于页面元素的位置、大小、外观。如果在某款浏览器上显示不美观，就会成为一个问题，需要修改。

　2) 功能问题

　Web软件中的功能性问题主要是不同浏览器对脚本的执行不一致，功能性问题极大的限制了用户对Web界面元素的使用。这类问题通常很难被发现，比如某个按钮可能显示正确但实际它是无法使用的，这个则需要用户真正的去使用它才能被发现。

　4、链接及表单设计

　链接测试可分为三个方面：

　1)测试所有链接是否按指示的那样确实链接到了该链接的页面;

　2)测试所链接的页面是否存在;

　3)保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

　表单测试，如用户注册、登陆、信息提交等，我们必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。例如：用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等。如果使用了默认值，还要检验默认值的正确性。如果表单只能接受指定的某些值，则也要进行测试。例如：只能接受某些字符，测试时可以跳过这些字符，看系统是否会报错。

　当然，网站测试还有很多方面的内容，诸如连接速度测试、负载测试、压力测试、接口测试、安全测试等等。网站测试需要用到各种测试工具，以及写一份合格的网站测试报告，这都是我们需要了解的。

不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。笔者认为，这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，笔者认为，Web安全要主动出击。具体的来说，需要做到如下几点。

一、在代码编写时就要进行漏洞测试

现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的，是通过代码堆积起来的。如果这个代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上使用的话，则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击，来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时，其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。

为此在为网站某个特定功能编写代码时，就要主动出击。从编码的设计到编写、到测试，都需要认识到是否存在着安全的漏洞。笔者在日常过程中，在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关，就可以提高代码编写的安全性。

二、对Web服务器进行持续的监控

冰冻三尺、非一日之寒。这就好像人生病一样，都有一个过程。病毒、木马等等在攻击Web服务器时，也需要一个过程。或者说，在攻击取得成功之前，他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器，从攻击开始到取得成果，至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种主动出击的方式，就可以大大的提高Web服务器的安全性。

笔者现在维护的Web服务器有好几十个。现在专门有一个小组，来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以上的攻击行为，由于服务器已经采取了对应的安全措施，都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为，那么他们就很有可能最终实现他们的非法目的。相反，现在及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，就在服务器上关掉这扇门，补上这个漏洞。

笔者在这里也建议，企业用户在选择互联网Web服务器提供商的时候，除了考虑性能等因素之外，还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击，及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前，就他们消除在萌芽状态。

三、设置蜜罐，将攻击者引向错误的方向

在军队中，有时候会给军人一些“伪装”，让敌人分不清真伪。其实在跟病毒、木马打交道时，本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装，也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说，就是设置两个服务器。其中一个是真正的服务器，另外一个是蜜罐。现在需要做的是，如何将真正的服务器伪装起来，而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话，可能需要从如下几个方面出发。

一是有真有假，难以区分。如果要瞒过攻击者的眼睛，那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候，80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性，而且也可以用来评估真实服务器的安全性。一举两得。

二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时，会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高，那么即使被攻破了，也没有多大的实用价值。攻击者如果没有有利可图的话，不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话，那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。

四、专人对Web服务器的安全性进行测试

俗话说，靠人不如靠自己。在Web服务器的攻防战上，这一个原则也适用。笔者建议，如果企业对于Web服务的安全比较高，如网站服务器上有电子商务交易平台，此时最好设置一个专业的团队。他们充当攻击者的角色，对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。

一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段，对自己的Web服务器发动攻击。当然这个时间是随机的。预先Web管理团队并不知道。现在要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说，这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功，是两个不同的概念。

二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是，这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力，但是对于这些已经存在的漏洞不能够放过。否则的话，也太便宜那些攻击者了。

漏洞描述：目标服务器启用不安全的传输方法，如PUT、TRACE、DELETE、MOVE等，这可能在服务器上使用 WebDAV，由于DAV方法允许客户端操纵服务器上的文件，若没有合理配置dav，有可能允许未授权的用户利用其修改服务器上的文件。

解决方法：

（1）关闭不安全的传输方法，推荐POST、GET方法。

（2）如果服务器不需要支持 WebDAV，请务必禁用它。或者为允许webdav的目录配置严格的访问权限，如认证方法，认证需要的用户名，密码。

首先，查找需求说明、网站设计等相关文档，分析测试需求。

制定测试计划，确定测试范围和测试策略，一般包括以下几个部分：功能性测试；界面测试；性能测试；数据库测试；安全性测试；兼容性测试

设计测试用例：

功能性测试可以包括，但不限于以下几个方面：

链接测试。链接是否正确跳转，是否存在空页面和无效页面，是否有不正确的出错信息返回。

提交功能的测试。

多媒体元素是否可以正确加载和显示。

多语言支持是否能够正确显示选择的语言等。

界面测试可以包括但不限于一下几个方面：

页面是否风格统一，美观

页面布局是否合理，重点内容和热点内容是否突出

控件是否正常使用

对于必须但未安装的控件，是否提供自动下载并安装的功能

文字检查

性能测试一般从以下三个方面考虑：

压力测试；负载测试；强度测试

数据库测试要具体决定是否需要开展。数据库一般需要考虑连结性，对数据的存取操作，数据内容的验证等方面。

安全性测试：

基本的登录功能的检查

是否存在溢出错误，导致系统崩溃或者权限泄露

相关开发语言的常见安全性问题检查，例如SQL注入等

如果需要高级的安全性测试，确定获得专业安全公司的帮助，外包测试，或者获取支持

兼容性测试，根据需求说明的内容，确定支持的平台组合：

浏览器的兼容性；

操作系统的兼容性；

软件平台的兼容性；

数据库的兼容性

开展测试，并记录缺陷。合理的安排调整测试进度，提前获取测试所需的资源，建立管理体系（例如，需求变更、风险、配置、测试文档、缺陷报告、人力资源等内容）。

定期评审，对测试进行评估和总结，调整测试的内容。

敲黑板！重点：推荐大家使用自动化测试工具TestWriter（测功能、测兼容性、测回归的零编码自动化测试工具 ），吼吼~