安全测试概念 一、什么是安全性测试 安全性测试(security testing)是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程
注意:安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的
WEB 安全性测试 一个完整的 WEB 安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密
参数操作、异常管理、审核和日志记录等几个方面入手
安全体系测试 1) 部署与基础结构 l 网络是否提供了安全的通信 l 部署拓扑结构是否包括内部的防火墙 l 部署拓扑结构中是否包括远程应用程序服务器 l 基础结构安全性需求的限制是什么 l 目标环境支持怎样的信任级别 2) 输入验证 l 如何验证输入 A
是否清楚入口点 B
是 否 清 楚 信 任 边 界 C
是 否 验 证 Web 页 输 入 D
是 否 对 传 递 到 组 件 或 Web 服 务 的 参 数 进 行 验 证 E
是 否 验 证 从 数 据 库 中 检 索 的 数 据 F
是 否 将 方 法 集 中 起 来 G
是 否 依 赖 客 户 端 的 验 证 H
应 用 程 序 是 否 易 受 SQL 注 入 攻 击 I
应 用 程 序 是 否 易 受 XSS 攻 击 Web 应 用 的 安 全 性 测 试 入 门 介 绍 随 着 越 来 越 多 的 重 要 数 据 都 存 储 在 w eb 应 用 上 , 以 及 网 络 事 务 数 量 的 增 长 , 适 当 的 基 于 网 络 应 用 程 序的 安 全 性 测 试 也 变 得 相 当 重 要
安 全 性 测 试 是 指 机 密 的 数 据 确 保 其 机 密 性 ( 例 如 , 不 是 将 其 暴 露 给 不 恰 当的 不 被 授 权 的
