Web安全性测试有多种因素，其中包括哪些要点？是很多人需要整明白的，Web安全性测试如何实现其功能，需要我们对每一个要点做深入的认识，这样才能活学活用，让安全性测试发挥其作用。

Web安全性测试的要点有哪些？

SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

XSS攻击

XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户 Cookie、破坏页面结构、重定向到其它网站等。

WEB日志

如何查看自己的服务器的日记?

自己有服务器的先打开“Internet 信息服务”，选择你的网站属性，下面有“启用日志记录”，一般有三个选项：W3C扩展日志文件格式、Microsoft IIS 日志文件格式、NCSA公用日志文件格式，默认是:W3C扩展日志文件格式，选择右边的属性，下面有日志文件名：(例 如：W3SCC1\ncyymmdd.log),日志存放目录一般是:C:\WINDOWS\system32\LogFiles，如果你要打开日志文件 夹，那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。 如果用虚拟主机的可以到服务器商的后台选择日志保存后用 FTP去下载，一般都放在log文件夹内。

接口测试

接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。

接口测试大体分为两类：模块接口测试和web接口测试

模块接口测试是单元测试的基础。它主要测试模块的调用与返回。

1、检查接口返回的数据是否与预期结果一致。

2、检查接口的容错性，假如传递数据的类型错误时是否可以处理。例如上面的例子是支持整数，传递的是小数或字符串呢?

3、接口参数的边界值。例如，传递的参数足够大或为负数时，接口是否可以正常处理。

4、接口的性能，接口处理数据的时间也是测试的一个方法。牵扯到内部就是算法与代码的优化。

5、接口的安全性，如果是外部接口的话，这点尤为重要。

web接口测试又可分为两类：服务器接口测试和外部接口测试。

服务器接口测试：是测试浏览器与服务器的接口。这个很容易理解，我们知道web开发一般分前端和后端，前端 开发人员用html/css/javascript等技术。后端开发人用php/java/python/ruby等各种语言。用户输入的数据是输入到的 前端页面上，怎样把这些数据传递的后台的呢?通过http协议的get与post请求来实现前后端的数据传递。这也可认为是接口测试，调用的登录接口还是 查询接口，传参的是用户密码还是搜索关键字。

外部接口测试：这个很典型的例子就是第三方登录，比如你做的新系统免于新用户重新注册的麻烦会提供第三方登录，那用户在登录的时候调用的就是第三方登录的接口，由第三方验证用户名和密码并且返回给当前系统。

web接口测试要点：

1、请求是否正确，默认请求成功是200，如果请求错误也能返回404、500等。

2、检查返回数据的正确性与格式;json是一种非常创建的格式。

3、接口的安全性，一般web都不会暴露在网上任意被调用，需要做一些限制，比如鉴权或认证。

4、接口的性能，web接口同样注重性能，这直接影响用户的使用体验。如果我搜索一个关键字半天结果都没返回，果断弃用。