(測試) 網站安全性 測試沙龍記錄

"今天和富林及傑子去參加了51testing舉辦的軟件測試沙龍，主講人為阿里巴巴的測試總監陳衛俊先生。他演示著ppt講了些他們公司所用的安全測試工具，聽完ppt大家並沒有太多感覺。我也有點意外，本以為會講比較多的東西呢。但後面的現場問答還是非常精彩的，每次沙龍的這個環節都是最精彩的我認為。本次沙龍讓我們知道一下一些東西： 1、Hp的一些安全性測試工具：DevInspect、QAInspect及WebInspect 2、DDOS攻擊，我以前還真不知道它的含義。還傻傻的在提問單上問了類似的問題，不知有此專業術語。為了應付DDOS攻擊會有一些DDOS防火墻，還有一些流量異常監測及負載均衡。關於此，我想在我的網站設計、開發及測試的過程中都應考慮，要保證系統不因大量的請求而當掉（不管這些請求來自真實的用戶還是DDOS攻擊），但也不必太過擔心，因為服務器提供商應該會在機房提供相應的一些保護，並且他們的帶寬之類的也許並不能允許有那麼大量的訪問。 3、一些DDOS相關的工具，ISIC（linux上的攻擊工具），NETCAT（nc.exe），XSCAN 4、關於SQL注入，據ebay測試經理說對SQL進行加密，可以防止95%的此類問題。SQL注入的問題，我想網上應有較多資料，這是需要著重考慮到一點，不過對此我認為只要考慮清楚，不會有什麼問題的。 5、要在framework上保證頁面的訪問權限問題，這一點對於我的網站來說非常適用。 6、及時更新系統補丁，關閉無用的服務及端口等 7、要做好數據備份工作，能夠在系統出現問題後迅速恢復。由於將租用服務器，這一點我們暫時無法做到。 8、要注意function、class、interface中的邊界、異常等問題，這些在設計、編程及測試時都需考慮，是非常重要的，做好這一點將提高我們系統的穩定性和可靠性。 9、關於文件的上傳和下載，我們也要考慮清楚該類操作對系統的壓力，並在系統中作出一定的控制。 去了，就會有所收穫，我始終這麼認為。以上這些問題，暫做記錄，過幾天需要結合我們自己的系統來詳細考慮！ "