一個完整的web安全測試能從布署和基礎(chǔ)設(shè)施建設(shè)、鍵入認證、身份認證、受權(quán)、軟件配置管理、隱秘數(shù)據(jù)、對話管理方法、數(shù)據(jù)加密等層面開展。主要參數(shù)實際操作、出現(xiàn)異常管理方法、財務審計和日志紀錄。

布署拓撲結(jié)構(gòu)是不是包含遠程控制應用軟件網(wǎng)絡(luò)服務器

D、 傳送給部件或web服務的技術(shù)參數(shù)是不是通過認證

web應用系統(tǒng)的安全從應用的視角能夠分成運用級安全性和傳送級安全性，安全系數(shù)測試還可以從這2個層面下手。

運用級安全性測試的首要目的是找到web系統(tǒng)本身編程設(shè)計中存在著安全風險。關(guān)鍵測試地區(qū)如下所示。

申請注冊與登陸：現(xiàn)階段的web應用系統(tǒng)大部分采用先申請注冊后登陸的方法。

D、 能否在不登錄的情況下立即訪問網(wǎng)頁頁面。

線上請求超時：web應用系統(tǒng)是不是有請求超時限定，即客戶在登錄后一定期限內(nèi)（如15min）并沒有點一下一切網(wǎng)頁頁面，是不是必須重新登錄才可以正常啟動。

實際操作追蹤：為了確保web應用系統(tǒng)的安全性，日志文件非常重要。必須測試有關(guān)信息是不是載入日志文件，能否追蹤。

備份和恢復：為了避免因為系統(tǒng)出現(xiàn)意外奔潰而產(chǎn)生的內(nèi)容丟失，備份和恢復方式是web系統(tǒng)的一項必需作用。依據(jù)數(shù)據(jù)備份和徹底備份數(shù)據(jù)的規(guī)定，系統(tǒng)能夠選用數(shù)據(jù)備份和徹底備份數(shù)據(jù)等多種方式。以便達到更強的安全要求，一些即時系統(tǒng)一般選用雙熱備或多級別熱備。除去對這種備份和恢復方式實現(xiàn)認證測試外，還應分析這種備份和恢復方式是不是達到web系統(tǒng)的安全要求。

傳送級安全性測試是考慮到web系統(tǒng)傳送的獨特性，關(guān)鍵測試數(shù)據(jù)信息從手機客戶端傳送到遠程服務器很有可能存在著網(wǎng)絡(luò)安全問題，及其網(wǎng)絡(luò)服務器避免非法訪問的水平。一般測試新項目包含下列這幾個層面。

HTTPS和SSL測試：默認設(shè)置前提下，securehttp（sourehttp）根據(jù)securesocketssl（源tcp協(xié)議層）協(xié)議書在端口號443上采用一般http。公匙的數(shù)據(jù)加密長短取決于HTTPS的安全等級，但從某種程度上講，安全是以特性損害為結(jié)果的。除開測試數(shù)據(jù)加密是否正確，檢查信息的完好性，確定HTTPS的安全等級外，需注意其功能能否達到該安全等級下的規(guī)定。

服務端腳本制作系統(tǒng)漏洞查驗：存在于服務端的代碼通常組成網(wǎng)絡(luò)安全問題，常常被網(wǎng)絡(luò)黑客運用。因而，人們還應當測試腳本制作不可以在未經(jīng)授權(quán)的前提下置放和編寫服務端的難題。

服務器防火墻測試：防火墻是一種主要運用于避免非法訪問的無線路由器。它是web系統(tǒng)中常見的安全性系統(tǒng)。服務器防火墻測試是一個技術(shù)專業(yè)的大課題研究。這兒所涉及到的僅僅對防火墻的作用和設(shè)定開展測試，以分辨該web系統(tǒng)的安全需求。