安全性測試的測試點
1.跨**指令碼攻擊
通過指令碼語言的缺陷模擬合法使用者,控制其賬戶,盜竊敏感資料
2.注入攻擊
通過構造查詢對資料庫、ldap和其他系統進行非法查詢
3.惡意檔案執行
在伺服器上執行shell 命令execute,獲取控制權
4.偽造跨站點請求
發起blind 請求,模擬合法使用者,要求轉賬等請求
5.不安全物件引用
不安全物件的引入,訪問敏感檔案和資源,web應用返回敏感檔案內容
6.被破壞的認證和session管理
驗證session token 保護措施,防止盜竊session
7.session的失效時間限制
session的失效時間設定是否過長,會造成訪問風險
8.不安全的木馬儲存
過於簡單的加密技術導致黑客破解編密碼,隱秘資訊被盜竊,驗證其資料加密
9.不安全的通訊
敏感資訊在不安全通道中以非加密方式傳送, 敏感資訊被盜竊,驗證其通訊的安全性
10.url訪問限制失效
驗證是否通過惡意手段訪問非授權的資源鏈結,強行訪問一些登陸網頁,竊取敏感資訊
11.資訊洩露和不正確錯誤處理測試
惡意系統檢測,防止黑客用獲取web站點的具體資訊的攻擊手段獲取詳細系統資訊
12.註冊與登入測試
驗證系統先註冊後登入、驗證登入使用者名稱和密碼匹配校驗,密碼長度及嘗試登入次數,防止 非法使用者登入
13.超時限制
驗證web應用系統需要有是否超時的限制,當使用者長時間不做任何操作的時候,需要重新登入才能使用
14.日誌檔案
驗證伺服器上日誌是否正常工作,所有事務處理是否被記錄
15.目錄檔案
驗證web伺服器目錄訪問許可權,或者每個目錄訪問時有index.htm,防止 web 伺服器處理不適當,將整個web目錄暴露
16.身份驗證
驗證呼叫者身份、資料庫身份、驗證是否明確服務賬戶要求、是否強制式試用賬戶管理措施
17.授權
驗證如何向終端使用者授權、如何在資料庫中授權應用程式,確定訪問系統資源許可權
18.會話
驗證如何交換會話識別符號、是否限制會話生存期、如何確保會話儲存狀態安全
19.配置管理
驗證是否支援遠端管理、是否保證配置儲存安全、是否隔離管理員特權
20.備份與恢復
為了防止系統意外崩潰造成的資料丟失,驗證備份與恢復功能正常實現、備份與恢復方式是否滿足web系統安全性要求
21.資料庫關鍵資料是否進行加密儲存,是否在網路中傳遞敏感資料
22.在登入或註冊功能中是否有驗證碼存在,防止惡意大批量註冊登入的攻擊
23.cookie檔案是否進行了加密儲存,防止盜用cookie內容
24.密碼強度提醒
建議對密碼的規則進行加強設定
25.密碼內容禁止拷貝貼上
安全性測試的測試點
安全性測試的測試點 1.跨 指令碼攻擊 通過指令碼語言的缺陷模擬合法使用者,控制其賬戶,盜竊敏感資料 2.注入攻擊 通過構造查詢對資料庫 ldap和其他系統進行非法查詢 3.惡意檔案執行 在伺服器上執行 shell 命令execute,獲取控制權 4.偽造跨站點請求 發起 blind 請求,模擬合法...
安全性測試的測試點
安全性測試的測試點 1.跨 指令碼攻擊 通過指令碼語言的缺陷模擬合法使用者,控制其賬戶,盜竊敏感資料 2.注入攻擊 通過構造查詢對資料庫 ldap和其他系統進行非法查詢 3.惡意檔案執行 在伺服器上執行shell 命令execute,獲取控制權 4.偽造跨站點請求 發起blind 請求,模擬合法使用...
安全性測試的測試點
安全性測試的測試點 1.跨 指令碼攻擊 通過指令碼語言的缺陷模擬合法使用者,控制其賬戶,盜竊敏感資料 2.注入攻擊 通過構造查詢對資料庫 ldap和其他系統進行非法查詢 3.惡意檔案執行 在伺服器上執行shell 命令execute,獲取控制權 4.偽造跨站點請求 發起blind 請求,模擬合法使用...