在使用成熟的框架编写Web应用措施时，有时候开发会处于永无止境的改削=>测试=>改削=>测试的状态。尽管如此，开发人员更专注于变动的成果和可视输出，而在安适性方面花费的时间却少得多。但是，当他们确实专注于安适性时，凡是会想到的就是范例的工作，例如防备SQL注入或访谒控制错误，但是对安适性的存眷应该远远赶过这些。

在测试Web应用措施时，这个列表供给一个常见的几种导致安适缝隙的原因和预防步伐。虽然这还远远不够全面，但是可以为测试供给必然参考。

单元测试

前面我们提到了改削=>测试=>改削=>测试的循环。与此有关的一个问题是，所做的变动会影响到测试内容之外的其他成果，例如在代码的多个模块复用了这个成果。测试框架允许通过使用带有某些参数的函数并断言预期的功效来确保成果与预期一致，从而防备产生安适事件（例如，防备isAdmin()函数错误地允许打点员权限）。

访谒控制

我们还提到了访谒控制错误，这些错误在定制开发的应用措施中至关重要。这就像是用户提升本身的特权或访谒未经授权访谒的内容的能力。该当采纳严格访谒控制限制来验证执行受限操纵和内容的高权限。

变换跟踪/版本控制

跟踪代码或配置文件的变动对付许多安适问题至关重要：成果可靠性，跟踪改削记录，确保黑客没有进行任何篡改等等。跟踪配置文件的变动，并使用源代码打点（Git，SVN）可确保在何时何地变动了哪些内容。

打点权限

当在较大的团队中事情时，拥有打点员级别权限的人数可能会增加。不只是处事器上的root权限，还包孕对Git存储库的写访谒或云处事器账户中的实例访谒权限。审核日志有助于跟踪谁做了什么，但是更重要的是确保合适的人员拥有所需的访谒权限。

最小特权

从上面的权限内容继续，应该始终明确人员都给与最小特权的观点。在授予访谒权限时，，要考虑的一个重要问题是，所需的最少特权是几多？Web应用措施不需要访谒整个文件系统，需要不需要访谒数据库，依此类推。

异地冗余

前面提到的大大都要点都需要必然水平的日志记录才华完全有效。将日志存储在本地而不是长途存储，从而有可能篡改跟踪记录。别的，异地备份和多地冗余可实现更好的不变性，正常运行时间和灾难恢复。

监控

冗余有利于恢复，但还可以采纳监控法子提高安适性。强制性监控可以及时发明问题产生的时间，而不是找出产生问题的时间，因此可以在重大故障产生之前进行防止法子。良好的监控还会寻找级联效应的可能性，例如，一项处事中断会使依赖它的其他处事的整个集群瘫痪。

加密

太多的Web应用措施仍然允许通过非SSL连接和其他各类未加密流量进行纯文自己份验证。数据存储也不总是安适的，例如使用易破解的MD5或SHA1暗码加密哈希算法存储的暗码。确保使用加密安适的TLS证书和哈希算法（建议使用加盐的SHA512），可以大大减少未经授权的数据访谒的脆弱性。

Web安适扫描措施

将每个成果和每个用户操纵组合起来，安适危害的可能性呈指数增长。甚至安适团队都不成能手动验证和测试所有内容，但是好的自动Web安适扫描措施不只可以测试缝隙，而且可以发明一些开发人员可能不会考虑的问题。

SQL注入

固然，SQL注入是最常见的安适问题。近年来，SQL注入仍然是OWASP前10名中的第一名。使用筹备好的SQL语句和措置惩罚惩罚用户输入内容是防备中招的两种重要要领。

总结

正如之前所说，该列表不是全面的。确实，一个真正全面的列表会是数以千计，其自己也拥有大量的册本资料。安适性是要了解每个潜在的极端情况，逾越通例的思维方法。

郑重声明：文章首发于公家号“FunTester”，禁止第三方（腾讯云除外）转载、发表。

技术类文章精选

java一行代码打印心形

Linux性能监控软件netdata中文汉化版

性能测试框架第二版

如安在Linux命令行界面愉快进行性能测试

图解HTTP脑图

将swagger文档自动酿成测试代码

五行代码构建静态博客

基于java的直线型接口测试框架初探

Selenium 4.0 Alpha更新日志

Selenium 4.0 Alpha更新实践

如何统一接口测试的成果、自动化和性能测试用例

非技术文章精选

为什么选择软件测试作为职业门路?

写给所有人的编程思维

成为自动化测试的7种技能

如安在DevOps引入自动化测试

Web端自动化测试掉败原因汇总

如安在DevOps引入自动化测试

测试人员常用借口

2019年浏览器市场份额排行榜

API测试根本

API自动化测试指南

未来的QA测试工程师