web安全测试有哪些目的

安全测试的目的是尽可能找出网络架构层面的有意无意问题web该系统是一个标准的网络协议结构，以浏览器为载体，我们需要找到与浏览器相关的安全漏洞，网页用于与用户互动，负面操作是通过JavaScripts执行脚本的人会绕过界面向服务器发送数据，存在安全隐患。

安全测试的任务是利用安全测试技术，在产品正式发布前找到安全测试bug，发现安全漏洞需要修复安全漏洞，避免非常用户攻击漏洞，给服务器或与金钱相关的数据带来安全风险。安全测试的目的是发现这些安全问题，以修复安全测试的漏洞，让用户更放心、更安全地使用我们的系统。

但往往不容易找到安全漏洞，也不可能完全发现，因为我们的黑客攻击技术太复杂，无论我们如何避免为用户提供服务，必须打开一些端口需要为用户提供一些输入界面，非常用户可以打开80端口扫描或通过输入URL地址参数模式SQL在我们的系统中注入一些非常代码是可能的。

实施安全测试的目的是尽快发现系统中安全测试的漏洞和隐患，然后修改漏洞。

在学习安全测试之前，我们需要基于网络协议进行一定的网络协议、性能测试和接口测试。如果我们只在前端JS过滤不过滤服务器。如果您绕过前端直接向服务器发送数据包，此时过滤不会生效，除了服务器。

例如，只允许在文本框中输入数字，JS浏览器受到限制，但服务器端接口不受限制。此时，用户可以直接绕过前端向服务器端发送数据，这也将是安全的bug。

安全测试的分类是什么？

1.认证和授权

例如，用户登录认证的操作和用户登录后角色授予的权限在技术层面上没有特别之处。程序员在编写程序时必须意识到安全漏洞。

2、Session与Cookie

Session通过保存在服务器端的一些文件SessionID为了保存文件，一般安全问题不大，可以直接读取服务器数据。

Cookie如果保存在客户端，则保存在客户端Cookie如果用户获取信息，他们将利用漏洞攻击系统。

3、DDOS拒绝服务攻击

不断向服务器发送请求，占用服务器的连接资源，完成服务器的资源消耗。正常向服务器提供服务称为DDOS拒绝攻击，这种情况一般很难预防，一般发送请求正常，服务器不知道DDOS攻击的情况，如果某些资源达到瓶颈系统就会导致瘫痪。

文件上传漏洞

当一般用户端向服务器端提交文件时，如果用户将可执行的文件脚本传木马，则可以攻击服务器。

5、XSS跨站攻击漏洞

XSS攻击一般对服务器没有影响，对用户会产生影响，例如：网页上存放某个脚本，其它用户操作网站的内容就不小心点击到了对服务器没有影响，通过跨站攻击就可以获取SessionID网站的非法操作是Cookie欺骗。

另一种情况是，用户模拟了一个钓鱼网站，让我们误解自己的网站，输入一些与金钱相关的敏感信息，获取用户的相关数据，容易入侵，导致一系列安全风险。

6、SQL注入

可以在任何可以输入的地方实现SQL注入目的。

例如，登录框、文件输入框等相关功能是一种常见的攻击方法。