如何去测试一个web网站(如何去测试一个web网站的好坏)

如何进行WEB安全性测试？

一般来说，一个WEB应用包括WEB服务器运行的操作系统、WEB服务器、WEB应用逻辑、数据库几个部分，其中任何一个部分出现安全漏洞，都会导致整个系统的安全性问题。\x0d\x0a对操作系统来说，最关键的操作系统的漏洞，Windows上的RPC漏洞、缓冲区溢出漏洞、安全机制漏洞等等；\x0d\x0a对WEB服务器来说，WEB服务器从早期仅提供对静态HTML和图片进行访问发展到现在对动态请求的支持，早已是非常庞大的系统。\x0d\x0a对应用逻辑来说，根据其实现的语言不同、机制不同、由于编码、框架本身的漏洞或是业务设计时的不完善，都可能导致安全上的问题。\x0d\x0a对WEB的安全性测试是一个很大的题目，首先取决于要达到怎样的安全程度。不要期望网站可以达到100%的安全，须知，即使是美国国防部，也不能保证自己的网站100%安全。对于一般的用于实现业务的网站，达到这样的期望是比较合理的：\x0d\x0a1、能够对密码试探工具进行防范；\x0d\x0a2、能够防范对cookie攻击等常用攻击手段；\x0d\x0a3、敏感数据保证不用明文传输；\x0d\x0a4、能防范通过文件名猜测和查看HTML文件内容获取重要信息；\x0d\x0a5、能保证在网站收到工具后在给定时间内恢复，重要数据丢失不超过1个小时；

如何测试Web网站？

web网站本质上带有web服务器和客户端浏览器的C/S结构的应用程序。主要考虑web页面、TCP/IP通讯、Internet链接、防火墙和运行在 web页面上的一些程序(例如，applet、javascrīpt、应用程序插件)，以及运行在服务器端的应用程序(例如，CGI脚本、数据库接口、日志程序、动态页面产生器，asp等)。另外，因为服务器和浏览器类型很多，不同版本差别很小，但是表现出现的结果却不同，连接速度以及日益迅速的技术和多种标准、协议。使得web测试成为一项正在不断研究的课题。其它要考虑的如下：

1、服务器上期望的负载是多少(例如，每单位时间内的点击量)，在这些负载下应该具有什么样的性能(例如，服务器反应时间，数据库查询时间)。性能测试需要什么样的测试工具呢(例如，web负载测试工具，其它已经被采用的测试工具，web 自动下载工具，等等)?

2、系统用户是谁?他们使用什么样的浏览器?使用什么类型的连接速度?他们是在公司内部(这样可能有比较快的连接速度和相似的浏览器)或者外部(这可能有使用多种浏览器和连接速度)?

3、在客户端希望有什么样的性能(例如，页面显示速度?动画、applets的速度等?如何引导和运行)?

4、允许网站维护或升级吗?投入多少?

5、需要考虑安全方面(防火墙，加密、密码等)是否需要，如何做?怎么能被测试?需要连接的Internet网站可靠性有多高?对备份系统或冗余链接请求如何处理和测试?web网站管理、升级时需要考虑哪些步骤?需求、跟踪、控制页面内容、图形、链接等有什么需求?

6、需要考虑哪种HTML规范?多么严格?允许终端用户浏览器有哪些变化?

7、页面显示和/或图片占据整个页面或页面一部分有标准或需求吗?

8、内部和外部的链接能够被验证和升级吗?多久一次?

9、产品系统上能被测试吗?或者需要一个单独的测试系统?浏览器的缓存、浏览器操作设置改变、拨号上网连接以及Internet中产生的“交通堵塞”问题在测试中是否解决，这些考虑了吗?

10、服务器日志和报告内容能定制吗?它们是否被认为是系统测试的主要部分并需要测试吗?

11、CGI程序、applets、javascrīpts、ActiveX 组件等能被维护、跟踪、控制和测试吗?

web端网站怎么测试

web端网站通常是对Web应用安全进行检测。

Web应用安全检测针对目标提供的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用进行安全扫描检测。主要包括Web漏洞（SQL注入攻击、跨站点脚本攻击、Ajax安全缺陷、目录遍历攻击）、XML注入、认证不充分等方面，对Web应用安全进行评估。