與其他軟件一樣，Web應用程序也可能會(huì )遭受一些攻擊，也有一些漏洞。因此，安全測試也是新網(wǎng)站發(fā)布的一項重要環(huán)節。在網(wǎng)絡(luò )的建設和發(fā)布過(guò)程中，這一點(diǎn)經(jīng)常被忽略，但這是整個(gè)過(guò)程中非常重要的一步，它可以幫助我們發(fā)現一些意外錯誤、錯誤功能和用戶(hù)體驗問(wèn)題，也可以幫助我們發(fā)現一些網(wǎng)站可能導致系統遭受攻擊的漏洞。將安全測試加到標準生產(chǎn)發(fā)布過(guò)程中，可以帶來(lái)很多好處，而且它產(chǎn)生的應用程序信息多于標準壓力測試和用戶(hù)流量監控所能產(chǎn)生的信息。有許多優(yōu)秀的書(shū)籍介紹如何給Web應用程序“添亂”，或者給軟件施加一些隨機行為，以確定它是否能夠順利處理。這個(gè)過(guò)程一定不能忽視。


 
安全測試應該成為所有新產(chǎn)品發(fā)布的一個(gè)重要部分，而且不應該事后才想到。它應該在應用程序可以測試時(shí)就啟動(dòng)，而且要在整個(gè)開(kāi)發(fā)過(guò)程中持續進(jìn)行，直到產(chǎn)品成功發(fā)布為止。滲透測試是安全工程師的最主要工作，他的職責就是檢測Web應用程序的漏洞和缺陷，并且要在最終用戶(hù)訪(fǎng)問(wèn)新應用程序之前發(fā)現安全問(wèn)題。 Metasploit 1框架或 Webscarab項目就是很適合在滲透測試過(guò)程使用的軟件。
 
1.Web應用掃描工具
 
有許多商業(yè)或開(kāi)源Web應用漏洞掃描工具推出了商業(yè)版本，我沒(méi)法指出哪一些是最好的工具，因為到本書(shū)印刷出版時(shí)它們可能就已經(jīng)過(guò)時(shí)了，所以這里我只是建議最好能使用一下這種工具。這些漏洞掃描工具會(huì )像搜索引擎一樣抓取網(wǎng)站或Web應用程序的內容，從而分析它的結構，然后在網(wǎng)站上應用各種常見(jiàn)的漏洞掃描算法。它們不僅能夠確定最新開(kāi)發(fā)的網(wǎng)站或應用是否有常見(jiàn)漏洞，而且也能夠給應用程序創(chuàng )建一些場(chǎng)景和使用模式，由它們產(chǎn)生一些意外行為，為軟件技術(shù)團隊發(fā)現應用中需要改進(jìn)的地方。因此，掃描工具不僅是一個(gè)安全工具，也是一個(gè)質(zhì)量保證工具。任何新軟件都必須經(jīng)過(guò)漏洞掃描，然后才能交付或提供給公共用戶(hù)訪(fǎng)問(wèn)。
 
2.集成到QA過(guò)程中
 
理想情況下，漏洞掃描應該自動(dòng)化并集成到QA過(guò)程中。在將新版本代碼發(fā)布到Web環(huán)境之后，網(wǎng)站制作質(zhì)量保證測試套件應該執行一些漏洞掃描。這樣可以形成一種安全測試文化，而不是在懷疑有安全問(wèn)題時(shí)才執行測成。且，女全測試不應該專(zhuān)屬于組實(shí)中果位工程師的職責，整個(gè)公司都應該理解執行安全測試的原因與好處，這樣它才會(huì )成為一件常規工作。將安全測試添加到自動(dòng)化標準質(zhì)量保證過(guò)程中，就可以讓所有技術(shù)團隊像檢查日志文件或服務(wù)器性能指標一樣習慣去執行安全測試。