HTTPS测试环境实战指南:确保网站安全测试的每一环节
一、引言
随着互联网技术的不断发展,网络安全问题日益突出。
为了保障用户数据安全和网站稳定运行,越来越多的网站开始采用HTTPS协议。
在进行HTTPS网站测试时,如何确保每一环节的安全性至关重要。
本文将介绍HTTPS测试环境的搭建、测试内容、测试方法和实战指南,帮助读者全面了解HTTPS测试流程,确保网站安全测试的每一环节。
二、HTTPS测试环境搭建
1. 选择合适的测试环境
HTTPS测试环境可以分为实验室环境和模拟生产环境两种。
实验室环境可以在本地或云端搭建,模拟生产环境则需要尽可能接近真实生产环境。
在选择测试环境时,需要考虑测试需求、资源条件、成本等因素。
2. 安装必要的软件和工具
在搭建测试环境的过程中,需要安装相应的服务器软件、Web服务器软件、SSL证书和测试工具等。
服务器软件和Web服务器软件的选择要根据具体的测试需求而定,SSL证书则需要选择可信赖的证书颁发机构颁发的证书。
测试工具的选择要根据测试内容和测试方法而定,常用的测试工具有LoadRunner、JMeter等。
三、HTTPS测试内容
1. 功能性测试
功能性测试是测试网站的基本功能是否正常工作的过程。
在HTTPS环境下,需要测试网站的所有功能是否正常运行,包括登录、注册、购物、支付等功能。
2. 安全性测试
安全性测试是测试网站的安全性能是否达到预期要求的过程。
在HTTPS环境下,需要测试加密传输、身份验证、授权机制等安全性能,以及网站是否受到常见的网络攻击的影响。
3. 兼容性测试
兼容性测试是测试网站在不同浏览器、操作系统和设备上的表现。
在HTTPS环境下,需要测试网站在不同浏览器和设备上的兼容性,以确保用户能够正常访问网站。
4. 性能测试
性能测试是测试网站的响应速度、负载能力和稳定性等方面的表现。
在HTTPS环境下,需要测试网站的加载速度、并发访问量等性能指标,以确保网站在高负载下能够稳定运行。
四、HTTPS测试方法
1. 黑盒测试
黑盒测试是指从外部对系统进行分析和测试的测试方法。
在HTTPS测试中,黑盒测试主要关注系统的功能和性能表现,通过模拟用户行为对系统进行测试。
2. 白盒测试
白盒测试是指对系统的内部结构进行分析和测试的测试方法。
在HTTPS测试中,白盒测试主要关注系统的安全性能,对系统的加密算法、证书管理等方面进行深入分析。
3. 灰盒测试
灰盒测试是黑盒测试和白盒测试的折中方案,既关注系统的功能表现,又关注系统的安全性能。
在HTTPS测试中,灰盒测试可以结合黑盒测试和白盒测试的优点,对系统进行全面的测试。
五、实战指南
1. 制定详细的测试计划
在进行HTTPS测试前,需要制定详细的测试计划,包括测试目标、测试内容、测试方法、测试时间和人员分配等。
2. 模拟真实场景进行测试
在测试过程中,需要尽可能模拟真实场景进行测试,包括模拟用户行为、模拟网络攻击等。
3. 记录并分析问题
在测试过程中,需要详细记录测试结果,并对出现的问题进行分析和处理。
对于难以处理的问题,需要及时向开发团队反馈并寻求解决方案。
4. 完善安全策略
在测试过程中,需要根据测试结果完善安全策略,包括加强加密强度、优化证书管理等。
同时,需要定期对网站进行安全漏洞扫描和修复工作。
六、总结
本文介绍了HTTPS测试环境的搭建、测试内容、测试方法和实战指南。
通过本文的介绍,读者可以全面了解HTTPS测试流程,确保网站安全测试的每一环节。
在进行HTTPS网站测试时,需要根据实际情况选择合适的测试环境、测试内容和测试方法,并制定详细的测试计划。
同时,需要模拟真实场景进行测试,记录并分析问题,完善安全策略,确保网站的安全性和稳定性。
如何提升测试环境的稳定性?
阿里妹导读:测试环境是研发/测试同学最常用的功能,稳定性直接影响到研发效率,那如何提升测试环境的稳定性?阿里巴巴应用与基础运维平台高级开发工程师张劲,通过阿里内部实践,总结了一套测试环境稳定性提升方法,供大家参考。
痛点每一次容器申请失败直接造成研发测试停滞,同时带来答疑及问题排查(程序猿最怕的就是在代码写得正嗨的时候被人给打断,所以一般我都带耳机),涉及到测试链路上各个系统。
随着集团pouch化的全面推进,半年来测试环境日容器申请量暴增10倍以上,低成功率导致研发低效的问题越来越凸显,每天累计造成集团上百小时的研发测试停滞,损失不可接受,也渐渐成为了pouch化推进过程中的一个阻力。
因此,测试环境稳定性亟待大幅提升。
经过答疑汇总和错误分析,主要集中在两个方面:已成功申请的资源不可用测试环境宿主机较差(过保机器),且虚拟比高,容易发生故障。
宿主机故障时,其上的容器不会被自动迁移,很可能导致再次部署重启时失败。
调度系统巡检会将故障宿主机置为不可调度,由于其上仍有容器,不能下线修复后重用,造成机器资源越来越少。
新申请资源时成功率低测试环境机器被分为优先级不同的资源池,资源池间机器资源不共享。
测试环境机器的容量/余量不透明,没有告警,造成因资源不足的调度失败。
因为测试环境与线上环境有很大不同,资源调度系统之前没有针对测试场景优化,成功率不高。
目标容器申请成功率:99.9%方案指标数据从一开始我们就觉的数据非常重要,没有相关的稳定性数据,那我们就无的放矢,根据数据我们就能找到需要优化的点以及持续优化的动力。
所以项目开始阶段就做了挺长时间的数据收集工作。
测试环境链路数据收集:从上至下包括Normandy(基础应用运维平台),黄蜂(资源申请平台),Zeus(二层调度),Sigma(集团资源调度系统);其中我们最关心的就是最终容器交付的成功率,以及失败case。
失败case可以帮助我们分析整个系统中到底哪些地方存在问题,成功率趋势则帮助我们检验新的修复优化是否真的有效且稳定,也是最终成果的衡量指标。
测试环境链路稳定性数据展示平台:其实上下游的每个系统都有自己的数据,但是没有整合,有的用阿里表哥,有的是发邮件,有的则没有展示出来,所以做这样一个小东西的目的就是将上下游系统的数据统一整合在一个页面上,更便于查看分析问题。
每日/周/月错误分析:收集每天的错误数量及样例,便于分析问题。
已申请容器不可用容器自动置换容器自动置换是为了解决已申请的容器不可用问题,简单来说就是在另一台好的宿主机上扩一个新容器,然后将原来在故障宿主机上的旧容器下线。
整个流程如下:Sigma(资源调度系统)自动巡检出故障宿主机(比如磁盘满/硬件故障等),通知Atom(故障机替换)置换该故障宿主机上容器,Atom向Normandy(基础应用运维平台)发起机器置换流程。
通过自动置换将故障机腾空,然后下线修复。
新申请容器失败合理化资源池分配屏蔽底层系统失败因为测试环境与线上环境差异很大,一般测试环境使用的机器都是线上淘汰机,同时为了节省预算,每台宿主机的虚拟比都很高,导致在创建和使用容器时都特别容易失败,所以有必要做一个容器buffer池屏蔽掉底层失败对用户的影响。
buffer池的整个逻辑非常简单清晰:在测试环境容器生产链路靠近用户的一端嵌入buffer池,预生产一批容器,在用户需要的时候分配给他。
即使申请buffer容器失败,依然可以按原生产链路继续生产容器。
每次从buffer池申请一个容器后,buffer池会自动异步补充一个相同规格的容器进来,以维持buffer池的容量。
如何确定buffer哪些规格的容器及池子的容量是另一个关键点:需要统计每种规格-镜像-资源池的历史申请量,按比例分配每种buffer的容量。
同时为了保证即使在底层系统中断服务时,整个系统依然对用户可用,还需要确定高峰期的容器申请量,可允许中断时长以及测试环境机器资源,用来确定整个buffer池子的容量。
还需要考虑的一点是,用户也分为普通用户(研发测试人员),系统用户(比如自动化测试系统等),他们的优先级也不同,需要优先保证普通用户可用。
同时为了最大程度的降低引入buffer池后可能对用户造成的影响,buffer池内加了许多动态开关,用于及时屏蔽某些功能。
比如可针对具体应用设置是否需要修改容器主机名,此操作非常耗时,如果不改主机名,则平均不到1秒内会申请成功;如果某个应用不想使用buffer,也可立即屏蔽;如果buffer池本身出现问题,可以快速降级,在整个链路中去掉buffer功能。
另外buffer池在交付buffer容器前会额外做一次检查,判断容器是否可用,避免容器交付后,因为容器不可用而导致的服务部署失败,用户使用不了等问题。
buffer池内部也会定期清理脏容器(不可用,数据不一致等)和补充新的buffer容器。
总结上图展示测试环境最近2个月的容器申请成功率趋势,包括buffer池全量前后一个月。
从图中可以看到,11月末12月初的两天成功率极低,均是因为调度失败,之后根据资源池余量预测及报警及时调整了各个资源池的容量,提前消除了调度失败的可能,在此之后,成功率波幅都减少很多。
另一点,从buffer全量后,成功率波幅明显比buffer全量前大幅减小,波动次数明显减少,成功率趋于稳定。
buffer池全量后的一周内,由于buffer池内部的bug以及buffer命中率较低,成功率浮动较大,在bug修复以及提高buffer池命中率后,成功率基本稳定。
上图展示近两个月的每日成功率趋势图,纵向对比了用户视角(有buffer)与底层系统视角(无buffer)。
从图中可以看出,buffer池确实屏蔽了许多底层系统失败,除了其中一天buffer池被穿透导致成功率大跌。
展望虽然经过一系列改造优化后,成功率有了明显的提升,但是依然有很多地方需要完善:资源池容量自动调配:目前算法简单,有些情况无法解决,比如大规模的新增或删除容器造成对余量趋势的误判。
另外也要避免引入自动调配后造成宿主机标签的混乱。
buffer池模版动态的增减以及每种buffer的数量动态变化。
当前buffer池一个难题就是如何覆盖到低频的应用镜像,这种镜像虽然低频但是容易申请失败,一旦这种容器大量申请,容易穿透buffer池,造成大量失败。
扩大buffer池的容量,需要根据机器资源伸缩。
除了对以前工作的完善,测试环境依然有许多要做的事情:比如如何提高整个测试环境资源的利用率,如何减少容器交付耗时(从用户申请到用户可用),如何推动应用的可调度化等等,希望能够和大家一起探讨。
如何搭建一个提供web网络安全测试的环境
搭建WEB渗透环境。
一般是asp+access+iis等但是利用ASP小旋风就可以搭建一个asp的环境,但是漏洞源码你需要自己寻找。
PHP+MYSQL+阿帕奇,这种黄金三配套你需要拥有一个服务器环境,一般你下载一个XMPP就可以搭建一个阿帕奇+MYSQL的环境,配合这种PHP黄金三件套的环境漏洞平台有,DVWA。
这款测试平台集成了XSS,SQL,FUZZ,CSRF等常见得漏洞测试更多详细的漏洞平台参见
如何在测试环境中 应用https
到深圳易维信-EVTrust申请一个SSL证书制作服务器证书(最终形成一个pkcs12文件,包含服务器密钥、证书和CA的证书)假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里:mkdir-p$HOME/testca/test/servercd$HOME/testca/test/server 2.1创建服务器公钥密钥,并同时生成一个服务器证书请求/ -outformPEM -subj/O=ABCom/OU=servers/CN=servername执行命令过程中输入密钥保护密码。
执行后可以用以下命令查看请求内容-text-noout 2.2用测试CA签署服务器证书:把拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1.根据证书申请请求签发证书”章节进行证书签发了-config$HOME/testca/conf/执行过程中需要输入CA私钥的保护密码。
执行完后可以用以下命令查看证书内容-text-noout 2.3制作服务器pkcs12文件(包含服务器密钥、证书和CA的证书)/ -outtomcat.p12-nametomcat-CAfile$HOME/testca// -canameroot-chain执行过程中要输入服务器密钥的保护密码()和新生成的tomcat.p12的保护密码,我们都输入。
创建完成后,把pkcs12文件拷贝到tomcat的conf目录下。
创建服务器信任的客户端CA证书库:同方法一的对应章节,这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把证书导入信任证书库 可以用以下命令查看信任证书库内容-keypass-storepass-list-v 4.配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):修改tomcat的conf目录里的文件($TOMCAT_HOME/conf/),找到类似下面内容的配置处,添加配置如下:注意:其中keystore的keystoreType与方法一的配置不同。
经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。
