web安全是我們測試組一直以來作為和效能測試並駕齊驅的兩個重點。開發的過程中還需要著重注意，該轉義的地方轉義；該遮蔽的地方遮蔽，該過濾的地方過濾等等。年底又到了，勢必又有大批的發號抽獎之類的活動開發、上線，在這個過程中，安全問題是我們每個人應該緊繃的神經，對於我們測試人員來說，每個活動需要做到手動安全測試加自動化安全測試相結合。

　　常見的web安全問題有：

　　SQL注入、跨站點指令碼攻擊、跨站點偽造請求、目錄遍歷、郵件表頭注入、頁面錯誤資訊等。

　　對於手動安全測試來說，一般常用的有三點：

　　1、URL有引數的，手動修改引數，看是否得到其他使用者的資訊和相關頁面；

　　2、在登入輸入框的地方輸入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入；

　　3、在注重SQL注入的同時，一般在有輸入框的地方輸入

　　對於自動化安全測試來說：

　　測試組目前使用的安全測試工具為IBM的AppScan（當然，是破解版,34上已經放過該工具的安裝包）

　　1、在使用之前務必確認自己繫結的Host；

　　2、配置URL、開發環境、錯誤顯示型別；

　　3、結果儲存後可根據提示的問題型別和解決建議進行分析。

　　Web安全測試通常要考慮的測試點：

　　1、輸入的資料沒有進行有效的控制和驗證

　　2、使用者名稱和密碼

　　3、直接輸入需要許可權的網頁地址可以訪問

　　4、認證和會話資料作為GET的一部分來發送

　　5、隱藏域與CGI引數

　　6、上傳檔案沒有限制

　　7、把資料驗證寄希望於客戶端的驗證

　　8、跨站指令碼（XSS）

　　9、注入式漏洞（SQL注入）

　　10、不恰當的異常處理

　　11、不安全的儲存

　　12、不安全的配置管理

　　13、傳輸中的密碼沒有加密

　　14、弱密碼，預設密碼

　　15、緩衝區溢位

　　16、拒絕服務