51Testing软件测试网3R@L:eZr v#e_ 之前曾简单的介绍了安全测试相关的一些内容,在代码端,我们一般需要做的不多,现在国内比较流行的是Fortify SCA来进行代码安全审核。51Testing软件测试网%?2|*~:hNhQ+`V-g9cZ
51Testing软件测试网 l4FJ/Nlf5k/A 代码端我们可能遇到的问题主要在于堆栈溢出威胁,IO处理权限,Cache处理权限等问题上面。可以在编程的同时结合一些插件尽可能的避免此类的问题。51Testing软件测试网CIT0m6|o
0sH4r3u
U'I"F0 另外做安全测试最重要的是先做渗透攻击,只有在攻击中才能找到漏洞,加以处理。51Testing软件测试网+|/}|+QS'S7|[3c&e
c:P(B6?
pa0 最后为安全测试总结下所知道的一些可能被利用的入侵点:
Zx'Y7]/d&D'{8C"OW051Testing软件测试网0G:J.[-k)^m_2|x1\6t 1、SQL注入漏洞51Testing软件测试网U
L,s!?M:E4`
3H/c5}!O$w$V Q0r-g0 老生常谈了,可以利用漏洞扫描器确定问题的所在,然后使用SPI Dynamics公司的SQL注入器等先进行渗透测试。
q!W2q*Kv!n0"k!r%i!o:L5tY0w0 2、XSS跨站漏洞51Testing软件测试网gN-cS~q(s:n Z
-KA4z&M
\0 XSS一直是重中之中,我们能做的是不停的扫描,注重问题的解决,在各个开放层面进行扫描。51Testing软件测试网[$] [Uu:d3P;wH
v
B yT`;[h0 3、服务器溢出漏洞51Testing软件测试网
g(V0xzU2l%_?
51Testing软件测试网w G/SXAK
Ae 此漏洞目前好象比较少,只要管理员勤打补丁基本没事,不过在很多性能测试不过关的网站上问题比较严重。51Testing软件测试网0e3P[,fa4p2]-Wn
i-@TBUsa0 4、上传漏洞
3I0~-_C|0$OlF@9~
P'u0 利用上传漏洞能直接得到WEBSHELL,危害等级终极高,之前比较流行。目前都比较少见了。。我们需要的是对服务器服务的严格把控。
2?K,F(C)@].X-P0d2m` ip O5PV]0 5、DDoS51Testing软件测试网1ZM6sZ1H
51Testing软件测试网jXI$e[:G"bR 一般正确的管理员配置可以解决。51Testing软件测试网8} ["i
kY)Z)j+zkGB
"}6j;d{[p)vO0 6、同服务器漏洞51Testing软件测试网U4aE7b5k/FLd'f
E*O
/`,[%BR8l8BB0 很多的代理服务器的问题,你的网站做得安全,可是在你的服务器上的另外某些站点做得漏洞百出。因为都是同一个服务器的吧。。 所以别人就会利用别的服务器。提权。 然后得到你的服务器权限。
5^c6W-W9S6\.`AS051Testing软件测试网 k4z(Jml` 7、社会工程学51Testing软件测试网
G7k rl!}mg
?Ow*z~
uFfw0 最难防御的问题,在于安全意识本身的加强。51Testing软件测试网4U~%O\?,H%]7k&@
:R m pyx~0 先总结到这里,给自己留下点Memory,之后在此基础上加强。
0swgjs!d0