大家都知道测试分类里面，有一类叫“安全测试”，而随着互联网、物联网、工业4.0的发展，Web安全的重要性越来越高。很多互联网企业在高薪招聘“安全测试工程师”、“渗透测试工程师”、“安全专家”，大家在网上查一下，就可以知道这个职位现在真是炙手可热。

本文我们主要针对tomcat服务的Web应用系统，提供测试一般安全性的方法和用例，会以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外，也借鉴了一些业界最佳安全实践，涵盖Web安全开发规范的内容。

1. Web应用系统介绍

首先我们用下图，来说明一种典型的基于通用服务器的Web应用系统：

安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性及严重程度。其中威胁（Threat）是指可能对目标系统造成损害的潜在原因，包括物理环境威胁、人为威胁等。脆弱性(Vulnerability)也称弱点，是应用系统本身存在的，包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性达到破坏系统安全运行的目的。安全测试仅是安全风险评估中的一个活动，对应于安全风险评估过程中的脆弱性识别部分，特别是技术性的脆弱性识别。

2.安全测试过程

安全测试过程主要可以包括主动模式和被动模式两种。在被动模式中，测试人员尽可能的了解应用逻辑：比如用工具分析所有的HTTP请求及响应，以便测试人员掌握应用程序所有的接入点（包括HTTP头，参数，cookies等）；在主动模式中，测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试，其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统，即被动模式下的测试，然后再开展进一步的分析，即主动模式下的测试。主动测试会与被测目标进行直接的数据交互，而被动测试不需要。