障Web站点和应用程序的安全，免受SQL注入攻击涉及到三部分内容：1.通过彻底审核Web站点和Web应用程序的SQL注入式攻击和其它形式的攻击漏洞来分析目前的安全状态。2.确保你使用最佳的编码方法，来保证WEB应用程序和IT架构所有其它部分的安全性。3.在你向Web组件添加了内容以及做出改变后，能够定期地执行Web安全的审核。此外，在检查SQL注入式攻击和其它攻击技术时，你需要牢记最新的基本原则是这样的:“WEB站点的哪一部分可以被我们认为是安全的，而实际上却向攻击者敞开了大门？”，以及“我.

Web 应用系统的安全性测试区域主要有：（1 ）现在的Web 应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。（2 ）Web 应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15 分钟）没有点击任何页面，是否需要重新登陆才能正常使用。（3 ）为了保证Web 应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。（4 ）当使用了安全套接字时.

现在很多个通道会让木马防不胜防，比如，你有很好的习惯，防护看起来也很严密。但是，从你的电脑到WEB站点之前的网络链路，有很多复杂的环节，任何一个环节出问题，给你造成的后果就是下载木马。当然，你的系统使用自动更新，安装了相应的补丁程序，这种情况下，你的电脑因上网浏览下载病毒的可能性会降低。但还有另一个情况，最容易被网友所忽视——许多人使用电脑为了方便自己，通常使用非常简单的登录口令。　　简单口令的风险在哪里呢？在正版Windows缺省安装时，会禁用administrator用户，登录时，必须新建一个用户。如果使用.

IIS安全安装要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。1. 不要将IIS安装在系统分区上。2. 修改IIS的安装默认路径。3. 打上Windows和IIS的最新补丁。IIS的安全配置1. 删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。2. 删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP.

{有奖问答}常见的 Web 应用攻击有哪些？

{有奖问答}使用 Rational AppScan 如何应对 Web 应用攻击？

{有奖问答}您认为Web 应用有哪些安全隐患？

转贴：http://www.uml.org.cn/umlseminar/Raional/20080222/zhoumianluzhi.rar 视频http://www.uml.org.cn/umlseminar/Raional/20080222/testyanma.rar 源码http://www.uml.org.cn/umlseminar/Raional/20080222/QTPbasejiangyi.rar 讲义视频用WebEx player播放。

2008春节似乎格外的热闹，南方多年未见的雪灾、震动香港娱乐界的艳照门、人流拥挤的春运、年年一度的春晚、微软收购雅虎、熊猫烧香作者的相关后续报道，也再次在安全领域拉响了警铃。为了感谢广大网友对51Testing的支持，也为了感谢所有在51testing软件测试论坛交流的热心网友，51Testing举办了本次针对Web安全有奖问答活动。具体活动细则如下：活动时间：2008年2月21日-2008年3月20日24：00参加办法：会员挑选以下一个或多个问题回答。您可以直接回复相应的主题帖来回答问题或发表个人看法。问题：
.

本人刚开始做软件安全测试，以下是本人的一些总结。这些方面是比较基本的。希望大虾们补充。谢谢！:loveliness:注：以下只是涉及WEB安全测试的一些方面，并不全，且不涉及网络安全和服务器安全方面的测试。软件安全测试涉及的方面1.输入的数据没有进行有效的控制和验证包括：l数据类型（字符串，整型，实数，等）l允许的字符集l最小和最大的长度l是否允许空输入l参数是否是必须的l重复是否允许l数值范围l特定的值（枚举型）l特定的模式（正则表达式）（注：建议尽量采用白名单.

:time:

软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。用户认证安全的测试要考虑问题：1.明确区分系统中不同用户权限2.系统中会不会出现用户冲突3.系统会不会因用户的权限的改变造成混乱4.用户登陆密码是否是可见、可复制5.是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）6.用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统系统网络安全的测试要考虑问题 :1.测试采取的防护措施是否正确装配好，有关系统的补丁是否打上.

.NET开发人员犯的6大安全错误：HP的白皮书《Top six security mistakes .NET developers make : are your web applications vulnerable ?》中提到：行业分析估计超过70%的安全问题是伴随应用程序一起发生的，很多是由于代码的安全性缺陷造成的。微软在.NET中增加了不少的安全特性来帮助开发人员创建更加安全的应用程序。但是并不是每位开发人员都很好地使用了它们。文中列出了.NET开发者在安全性方面通常会犯的6个主要的错误：1、在开发过程中没有把安全考虑进去。2、SQL注入（SQL injection）。3、跨.

Apache Server 允许使用 .htaccess 做目录安全保护，欲读取这保护的目录需要先键入正确用户帐号与密码。可做为系统管理者的专用管理网页存放的目录或做为专区，例如教师专区或行政专区使用。方法为：在你要保护的目录放置一个档案，档名为.htaccss内容为：AuthName "行政专区"AuthType "Basic"AuthUserFile "/var/tmp/xxx.pw" (把密码档放在网站外)(一定要大写)require valid-user到apache/bin目录，开始建密码档% ./htpasswd -c /var/tmp/xxx.pw username1(输入两次密.

哪位高人能否解释一下侦听是嘛啊？在安全行测试中如何实现侦听

在日常操作中，我们经常要输入各种各样的密码，例 如开机时要输入密码，QQ时也要先输入密码，假如你忘记了这 些密码，就有可能用不了机器、打不开文件、不能聊天...。　　也许还会造成很大的损失!下面我们就介绍电脑操作中常用密码 的破解方法，希望能解你燃眉之急!　　一、遗忘了SYSTEM密码　　如果你遗忘了CMOS设置中的SYSTEM密码，就无法启动机器了， 解决的办法只能是:打开机箱，把电池取下、正负极短接，给 CMOS放电，清除CMOS中的所有内容(当然也就包括密码)，然后 重新开机进行设置。　　注意:有些主板设置了CM.

　Win 2000中每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，Win 2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。一项服务到底有没有用，就要根据自己的需要自己来判断啦。　　“控制面板”的“管理工具”中的“服务”中来配置。　　关闭7.9等等端口：关闭Simple TCP/IP Service，支持以下 TCP/IP 服务：Character Generator， Daytime， Discard， Echo， 以及 Quote of the Day。 　　关掉21端口：关闭FTP Publishing Servi.

测试工程师最开心的事:发现了一个很严重的bug,特别是那种隐藏很深,逻辑性的错误.第一次发现这种问题的时候,听到上司和开发人员的表扬时,高兴的就想扭pp.不过现在慢慢矜持些了,呵呵.　　测试工程师最提心吊胆的事:版本release出去后,客户发现了很多或很严重的bug.经过紧张的系统测试之后,好不容易可以轻松一下了,却又陷入了每天担心正在做验收或使用的客户一封邮件或一个电话说产品有问题.碰到好些的老板还会比较乐观的看这样的问题,最惨的就是有些人一顿臭骂,之前的辛苦,加班全部都给抹杀了.　　测试工程师最憎恨听到的话:"为什.

WEB安全性测试一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。1. 安全体系测试1) 部署与基础结构l 网络是否提供了安全的通信l 部署拓扑结构是否包括内部的防火墙l 部署拓扑结构中是否包括远程应用程序服务器l 基础结构安全性需求的限制是什么l 目标环境支持怎样的信任级别2) 输入验证l 如何验证输入A. 是否清楚入口点B. 是否清楚信任边界C. 是否验证Web页输入D. 是否对传递到组件或Web.

考虑系统安全架构的主要三点1.硬件2.软件3.网络只要把这三方面的安全做好了，相信你的系统是安全。虽然只是短短的几句，但我相信它是实用的经典的，希望对大家有所帮助。