导读 网站安全检测(如何检测网站安全?)制定测试计划,确定测试范围和测试策略;一个完整的WEB安全测试可以从部署和基础设施、输入验证、身份验
网站安全检测(如何检测网站安全?)
制定测试计划,确定测试范围和测试策略;一个完整的WEB安全测试可以从部署和基础设施、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审计和日志记录等几个方面入手。举几个例子。
布龙安
一、安全系统测试。
1.部署和基础设施网络是否提供安全通信?部署拓扑是否包括内部防火墙?部署拓扑是否包括远程应用服务器基础架构?安全要求的极限是什么?目标环境支持什么样的信任级别?
1)切入点是否明确?
2)信任边界是否清晰?
3)是否验证网页输入。
4)传递给组件或Web服务的参数是否经过验证?
5)从数据库中检索深圳生活网的数据是否经过验证?
6)深圳生活网是否集中方法?
7)是否依赖客户的深圳生活网验证?
8)应用程序是否容易受到SQL注入攻击?
9)应用程序容易受到XSS攻击吗?
1)公共访问和受限访问之间有区别吗?
2)服务账户要求是否明确?
3)如何验证来电者身份。
4)如何验证数据库的身份。
5)是否强制尝试账户管理措施?
1)如何授权最终用户。
2)如何对数据库中的应用进行授权。
3)如何限制对系统级资源的访问。
1)是否支持远程管理。
2)是否保证配置存储的安全性。
3)是否隔离管理员权限。
1)是否存储机密信息。
2)如何存储敏感数据。
3)是否在网络中传输敏感数据。
4)是否记录了敏感数据?