32、网络安全测试与Web应用安全解析

网络安全测试与Web应用安全解析

1. 安全测试的关键要素

在安全测试领域，有几个关键要素值得我们深入探讨，它们分别是完整性、安全性、可用性、连续性和警报机制。

1.1 完整性

完整性就如同咖啡的品质一样，如果将常煮咖啡换成冻干薄片制成的速溶咖啡，只有双方都知晓这种替换，才能说在咖啡这件事上保持了高度的完整性。在安全测试中，完整性意味着对系统的任何改变都应该是透明且可追溯的。

1.2 安全性

安全性关注的是安全流程或机制失效时，保护措施是否依然有效。例如，切断银行电源以破坏金库锁的电磁传导，锁会自动落下楔子，使门在恢复供电前无法打开，这就是安全失效的一个例子。

1.3 可用性

可用性涉及保护措施与访问方的交互。以发送机密电子邮件为例，默认情况下邮件不加密，需要用户手动加密，这就导致该邮件在安全可用性测试中失败。

1.4 连续性

连续性考量的是网关故障时，是否会中断交互或拒绝预期的交互。如圣诞节前一天，商店经理若不增开几个有经验员工操作的收银机，结账服务可能会不堪重负，导致顾客流失，这就是缺乏业务连续性的表现。

1.5 警报机制

警报机制确保在任何操作安全措施或损失控制失效或被绕过时有通知。例如，日常检查Web服务器日志文件时，发现大量流量流向特定的互联网客户端，可能意味着恶意软件已渗透服务器并通过防火墙建立了与其他计算机的连接，这种日志检查就是一次成功的警报。

2. OSSTMM安全测试方法

2.1 OSSTMM概述

OSSTMM（Op