如何检测网站服务器的漏洞？

查找Web服务器漏洞

在Web服务器等非定制产品中查找漏洞时，使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同，几乎所有的Web服务器都使用第三方软件，并且有无数用户已经以相同的方式安装和配置了这些软件。

在这种情况下，使用自动化扫描器发送大量专门设计的请求并监控表示已知漏洞的签名，就可以迅速、高效地确定最明显的漏洞。Nessus 是一款优良的免费漏洞扫描器，还有各种商业扫描器可供使用，如 Typhon 与 ISS。

除使用扫描工具外，渗透测试员还应始终对所攻击的软件进行深入研究。同时，浏览Security Focus、邮件列表Bugtrap和Full Disclosure等资源，在目标软件上查找所有最近发现的、尚未修复的漏洞信息。

还要注意，一些Web应用程序产品中内置了一个开源Web服务器，如Apache或Jetty。因为管理员把服务器看作他们所安装的应用程序，而不是他们负责的基础架构的一部分，所以这些捆绑服务器的安全更新也应用得相对较为缓慢。而且，在这种情况下，标准的服务标题也已被修改。因此，对所针对的软件进行手动测试与研究，可以非常有效地确定自动化扫描工具无法发现的漏洞。

个人和企业建站，服务器的性能影响着车开的快不快。比如运算速度，传输速度这个直接影响着每毫秒可以处理多少数据，这个就类似你插个U盘进电脑，读写速度。像香港服务器100M大带宽直连，测试网络质量好坏意味这高速公路有多少条道。

网络速度决定了道路的质量，比如柏油路，水泥路，黄泥路这个基本上不考虑，目前都是光纤光纤的质量差别并不会很大，如果访问速度不好的话，会让网站加载非常慢。在选择服务商时，首先一定要选择有保障的，方便日常维护。其次就是就要看服务器的稳定性，服务器出现宕机的情况不少见。那服务器的网络和带宽质量究竟如何来测试呢

服务器网络质量如何测试

1、网络线路质量

玩网络游戏，你得知道服务器用的是什么线路，不同的网络线路代表的服务器的带宽是不同的，避免线路的质量不稳定的情况。比如服务器是电信区，使用联通线路，定受影响。选择机房的带宽选骨干线路，速度快，稳定性强。首先看机房到企业建站之间要经过多少个路由，接入的路由设备离骨干网的位置，条数越少越好。

2、服务器网络稳定性

Ping测试。通过本机的PING命令进行持续ping，通过查看丢包率、最大值、最小值等数据来分析机房的网络品质和带宽质量。

第1种方法：常见的ping命令。

在电脑中点击开始，运行，然后输入CMD打开DOS命令窗口。然后输入网站网址，或者服务器的IP地址，格式为ping域名，或者pingIP。使用ping命令后，会反馈一个结果，这个结果基本包括了以下几个信息。

Time，这个是响应时间，时间越小越好，国内服务器响应时间一般在20-60ms之间。

TTL，这个可以判断相关的 *** 作系统，TTL=119，则表示是XP系统，不过这个现在一般不准，毕竟服务器可以修改注册表TTL类型。数据包发送信息，这个里面有个丢包率，数值越小越好，正常都是显示丢失0。丢包严重的话，哪怕一直连接，效率也不行。

第2种方法：tracert命令。

测试方法与ping命令类似，只是将ping换成tracert，不过这个命令可以用来检测终端用户到服务器机房的跳数及响应时间，换句话说，就是可以测试出服务器与全国客户的连接速度。显示时间也是以Ms为单位，时间越短越好。

第3种方法：比网站加载速度。

可以利用WhichLoadsFasterFastSoft工具测试一下打开网站速度。就是上网，在浏览器中让两个真实的网页显示出来，反应的结果就是两个网站真实打开速度对比。

第4种方法：网站速度测试工具。

使用GTmetrixgtmetrix有丰富的测量结果，能够提供相关的网站速度提升建议，站长可以根据这些建议优化站点。然后再逐一找到加载速度变慢的原因。此外，还有一点就是带宽的选择。关于带宽服务器一般有共享和独享两种选择，若本身是普通的网站使用共享的带宽是可以的，但若是对带宽要求高的行业选择独享带宽。

3、服务器带宽测试

测试其下载速度。通过运营商区域分段测试，看看最大下载多大速率，就可以查看到其实际带宽的速度、安全性和稳定性。

我们知道，一个网站如果在好几秒都打不开，那么基本上都会没有耐心，会关闭页面，而这无形当中就是流失了用户。但总体来看，企业主租用服务器一般只需要从四个方面入手，分别是售后服务、服务器的稳定性、带宽资源以及价格，如果这四个方向把握准确，以上就是租用服务器前对网络质量测试方法，希望对站长有一定的帮助。

水质检测是水家装之前的必备工作之一,它很大程度上决定了您需要什么水家装设备一般水质检测都是由专业的水质检定人员来完成的,在您没有请专业公司来安装前,您也可以自己来检测下自家的水质情况,不是很难的 同时也可以确定下大概需要什么类型功能的水处理设备,做好水家装预算
1看:用透明度较高的玻璃被接满一杯水,对着光线看有无悬浮在水中的细微物质静置三小时,然后观察杯底是否有沉淀物如果有,说明水中悬浮杂质严重超标；必须使用净水器进行终端处理;
2闻:用玻璃杯距离水龙头尽量远一点接一杯水,然后用鼻子闻一闻,是否有漂白粉（氯气）的味道如果能闻到漂白粉（氯气）的味道,说明自来水中余氯超标！也必须使用净水器进行终端处理;
3尝:热喝白开水,有无有漂白粉（氯气）的味道,如果能闻到漂白粉（氯气）的味道,说明自来水中余氯超标！也必须使用净水器进行终端处理;
4观:用自来水泡茶,隔夜后观察茶水是否变黑如果茶水变黑,说明自来水中含铁、锰严重超标,应选用装有除铁、锰滤芯的净水器进行终端处理;
5品:品尝白开水,口感有无涩涩的感觉如有,说明水的硬度过高,应选用装有离子交换树脂的软化滤芯的净水器进行处理,处理后的水口感会更甘甜;
6查:检查家里的热水器、开水壶,内壁有无结一层黄垢如果有,也说明水的硬度过高,（钙、镁盐含量过高）,也应尽早使用软化净水器进行软化处理！注意:硬度过高的水很容易造成热水器管道结垢,因热交换不良而爆管；长期饮用硬度过高的水容易使人得各种结石病
一般的水质问题都可以通过上面的步骤检测出来,当然,当您确定您家的水质情况确实需要安装水处理设备才能保证健康用水的话,您就必须要请专业的水质检定技术人员来进行检定了
许多水质问题可以由专业的水质检定技术售人员做简单的家庭拜访即可发现,这些水质检定技术人员经过严格的训练,只要随身行的仪器、试剂或试纸协助,便可检验出水质之各项污染程度而提议解决方案
最普遍的居家水质测试项目有:硬度（测试单位为GPG）,含铁量（测试单位为PPM）,酸度（测试单位为PH值）,含氯量、硝酸盐含量及总溶解物质（测试单位为PPM）
水质检测工具的使用方法：
一、TDS测试笔
Total Dissolved Solids的缩写，中文意思是溶解于水中的固体总含量，TDS即时针对此设计的计量器，可看出水中无机物或或固体物的PPM值。
TDS笔使用方法：打开TDS笔探针盖，按下标有ON/OFF按钮，待液晶屏显示后，将TDS笔插入被测水中，待数值稳定后，按下标有HOLD按钮，拿出TDS笔读取数值方可，测试完毕后，用干纸将TDS笔探针擦拭干净。
检测水中总溶解固体值，即检验出水中溶解的各类有机物或无机物的总量，使用单位为PPM(PartsPerMillion百万分之一或毫克/升（Mg/L),它表明1升水中溶有多少毫克溶解性总固体。导电仪能测出水中溶解物杂质的含量，水中溶解物越多，TDS值越大，水的导电性也越好，其导电率也越大。反之，导电率值小。
注意：1测量时的水温应维持在摄氏25度左右，切记，温度过高会使TDS值增高 ，影响正确性。
2TDS仅能测出水中的可导电物质，但无法测出细菌、病毒等物质。
二、电解器
固体沉淀促进仪检验法是美国食品医药管理局（FDA)，认定用来对已经被污染的水进行基本判定的简易的水质检测方法，对于需要检验水源纯净时很有实际意义，可使用户清楚、直观的看到自己日常所饮用水的实际情况。
检验方法及程序：
1取两只容量为100-150毫升的白色玻璃杯，一杯接自来水，另一杯接RO纯水，并排放在桌子上。
2将电解器平放于玻璃杯上，插上220伏电源。
3将电解器上的电源开关按钮向ON(开）的位置，开始检验。通常检验的时间为30秒。结束时，先将电源开关向OFF（关）的位置，最后取出电解器。
说明：
1当被测试水质纯净时，在测试时水就是基本不变色、没有其他异物产生；然而当被测水中含有其他杂质和污染物时，伴随着电解器的电极和一些其他副作用反应，水中所含杂质失去其原有的均衡状态，而被显现出来。接通电源后，双手不得抓在电极上；用完后，应用干布将电极擦干，并妥善保管。
2电解器只适合测试纯净水的纯度，不适合测试矿物质水（如超滤膜出水）或活化水。

贴一篇我们内部的文章：
随着浏览器功能的不断完善，用户量不断的攀升，涉及到web服务的功能在不断的增加，对于我们测试来说，我们不仅要保证服务端功能的正确性，也要验证服务端程序的性能是否符合要求。那么性能测试都要做些什么呢？我们该怎样进行性能测试呢？
性能测试一般会围绕以下这些问题而进行：
1 什么情况下需要做性能测试？
2 什么时候做性能测试？
3 做性能测试需要准备哪些内容？
4 什么样的性能指标是符合要求的？
5 性能测试需要收集的数据有哪些？
6 怎样收集这些数据？
7 如何分析收集到的数据？
8 如何给出性能测试报告？
性能测试的执行过程及要做的事儿主要包含以下内容：
1 测试评估阶段
在这个阶段，我们要评估被测的产品是否要进行性能测试，并且对目前的服务器环境进行粗估，服务的性能是否满足条件。
首先要明确只要涉及到准备上线的服务端产品，就需要进行性能测试。其次如果产品需求中明确提到了性能指标，那也必须要做性能测试。
测试人员在进行性能测试前，需要根据当前的收集到的各种信息，预先做性能的评估，收集的内容主要包括带宽、请求包大小、并发用户数和当前web服务的带宽等
2 测试准备阶段
在这个阶段，我们要了解以下内容：
a 服务器的架构是什么样的，例如：web服务器是什么？是如何配置的？数据库用的是什么？服务用的是什么语言编写的？；
b 服务端功能的内部逻辑实现；
c 服务端与数据库是如何交互的，例如：数据库的表结构是什么样的？服务端功能是怎样 *** 作数据库的？
d 服务端与客户端之间是如何进行交互的，即接口定义；
通过收集以上信息，测试人员整理出服务器端各模块之间的交互图，客户端与服务端之间的交互图以及服务端内部功能逻辑实现的流程图。
e 该服务上线后的用户量预估是多少，如果无法评估出用户量，那么可以通过设计测试执行的场景得出这个值；
f 上线要部署到多少台机器上，每台机器的负载均衡是如何设计的，每台机器的配置什么样的，网络环境是什么样的。
g 了解测试环境与线上环境的不同，例如网络环境、硬件配置等
h 制定测试执行的策略，是需要验证需求中的指标能否达到，还是评估系统的最大处理能力。
i 沟通上线的指标
通过收集以上信息，确定性能测试用例该如何设计，如何设计性能测试用例执行的场景，以及上线指标的评估。
3 测试设计阶段
根据测试人员通过之前整理的交互图和流程图，设计相应的性能测试用例。性能测试用例主要分为预期目标用户测试，用户并发测试，疲劳强度与大数量测试，网络性能测试，服务器性能测试，具体编写的测试用例要更具实际情况进行裁减。
用例编写的步骤大致分为：
a 通过脚本模拟单一用户是如何使用这个web服务的。这里模拟的可以是用户使用web服务的某一个动作或某几个动作，某一个功能或几个功能，也可以是使用web服务的整个过程。
b 根据客户端的实际情况和服务器端的策略，通过将脚本中可变的数据进行参数化，来模拟多个用户的 *** 作。
c 验证参数化后脚本功能的正确性。
d 添加检查点
e 设计脚本执行的策略，如每个功能的执行次数，各个功能的执行顺序等
4 测试执行阶段
根据客户端的产品行为设计web服务的测试执行场景及测试执行的过程，即测试执行期间发生的事儿。通过监控程序收集web服务的性能数据和web服务所在系统的性能数据。
在测试执行过程中，还要不断的关注以下内容：
a web服务的连接速度如何？
b 每秒的点击数如何？
c Web服务能允许多少个用户同时在线？
d 如果超过了这个数量，会出现什么现象？
e Web服务能否处理大量用户对同一个页面的请求？
f 如果web服务崩溃，是否会自动恢复？
g 系统能否同一时间响应大量用户的请求？
h 打压机的系统负载状态。
5 测试分析阶段
将收集到的数据制成图表，查看各指标的性能变化曲线，结合之前确定的上线指标，对各项数据进行分析，已确定是否继续对web服务进行测试，结果是否达到了期望值。
6 测试验证阶段
在开发针对发现的性能问题进行修复后，要再执行性能测试的用例对问题进行验证。这里需要关注的是开发在解决问题的同时可能无意中修改了某些功能，所以在验证性能的同时，也要关注原有功能是否受到了影响。
想看原文或者有测试其他相关的问题可以关注下 搜狗测试 微信公众号，我们上面有不少关于性能测试分享~

---