一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。51Testing软件测试网e4]#uk7B@+l
A
@`b(x2w$|6[8N4l$T|01.安全体系测试51Testing软件测试网qIG7jR1[
i(}-q.[1A7c$w:ODZ/W01) 部署与基础结构51Testing软件测试网*mp%p1ag$bB
51Testing软件测试网GV Pj%W|u 网络是否提供了安全的通信
6vs^mMg^01Y3i.GYN9Z0u 部署拓扑结构是否包括内部的防火墙51Testing软件测试网;l j(A4n;oM
51Testing软件测试网+]QV5e@'Yt4Uu 部署拓扑结构中是否包括远程应用程序服务器
t&M2T+d8V0
^0g(} m!k8_-w0u 基础结构安全性需求的限制是什么51Testing软件测试网`rL;}?,iv5K
mM~Zm'_8j*|;U0u 目标环境支持怎样的信任级别51Testing软件测试网lO(^e;W$A*c%]'a
]X
R.f
c)YG02) 输入验证
$u*V)J]1b051Testing软件测试网.CQi-r)^_c+yu 如何验证输入51Testing软件测试网3e)F~!NO$xoyty
bQ)|EF#iEf)Jx&W0u 是否清楚入口点
Duj} A-h9Mk051Testing软件测试网
u%|{Wb-J
j4J7yHu 是否清楚信任边界51Testing软件测试网*T:\8q~;w@9Q/XT
N]Gt9{\EcP7R0u 是否验证Web页输入
FuYu%hT3{9]Sd051Testing软件测试网3eB9lX ]&Kru 是否对传递到组件或Web服务的参数进行验证
:mj k4V4k.v*ro%o051Testing软件测试网b%ouc5R:Gu 是否验证从数据库中检索的数据
3S
Mv|;pYy y051Testing软件测试网8b Ir2A8X6Q:|b~Jku 是否将方法集中起来
C c\!MwGA C051Testing软件测试网IAf'Ex l-wmXUu 是否依赖客户端的验证
4am$DAM/V.m,EL051Testing软件测试网%k5z&Ie^u 应用程序是否易受SQL注入攻击51Testing软件测试网%xX/`Xi_2Ear
1d!k9ep8G?0u 应用程序是否易受XSS攻击51Testing软件测试网s2i{+X([Fee)W1G
0u}%F.vT,Z'X&j0Po3F0u 如何处理输入
$Q%FVS\MMr'ePlK0a;p^)S])d\:p03)身份验证
5q+hKZ1\'e k-yW0