安全测试需要关注那些要点
上一篇 /
下一篇 2012-11-13 09:05:03
/ 个人分类:杂谈
51Testing软件测试网�q5m�o�p2Q�q 之前曾简单的介绍了安全测试相关的一些内容,在代码端,我们一般需要做的不多,现在国内比较流行的是Fortify SCA来进行代码安全审核。
T0\�R�V3^�G.v�u�S0�e�E4e:k�d/Q�U�Y4|�K0 代码端我们可能遇到的问题主要在于堆栈溢出威胁,IO处理权限,Cache处理权限等问题上面。可以在编程的同时结合一些插件尽可能的避免此类的问题。51Testing软件测试网�A�F�};Y2X#[�b�R
�|�e�V!J�z'P0 另外做安全测试最重要的是先做渗透攻击,只有在攻击中才能找到漏洞,加以处理。51Testing软件测试网0O�D�{�i�\ p)t4G
*i/A#`�c�A�y8Y.N�\!W0 最后为安全测试总结下所知道的一些可能被利用的入侵点:
�c*k-X&e-N�@3c(t�M0
l�@�`�?3s�[0 1、SQL注入漏洞51Testing软件测试网!W�J/m%\9Y1i.k�O�Q�P�w#W$^
(A�N#M3z�W0 老生常谈了,可以利用漏洞扫描器确定问题的所在,然后使用SPI Dynamics公司的SQL注入器等先进行渗透测试。
�Z�m�G+i7a�t�L:B07C
H�b
~1g#Y/Y�d0 2、XSS跨站漏洞51Testing软件测试网/w�x�?�z(I�x�B L9H
�D�D o*L"^'l�|�b#_0 XSS一直是重中之中,我们能做的是不停的扫描,注重问题的解决,在各个开放层面进行扫描。51Testing软件测试网�H9p�|�f$^�~
51Testing软件测试网:O�P0M�d�s�s 3、服务器溢出漏洞
4r:e8c2@7d8V�g1h051Testing软件测试网�?�E#p�Z%i�{ 此漏洞目前好象比较少,只要管理员勤打补丁基本没事,不过在很多性能测试不过关的网站上问题比较严重。
�p*n8A�H/|�q1f&b:j�L�D�\051Testing软件测试网�?;k3y�[�T�`8p6v 4、上传漏洞
�a�`2i(|
N/s0V$`051Testing软件测试网,T�a3_$r)x�^�O 利用上传漏洞能直接得到WEBSHELL,危害等级终极高,之前比较流行。目前都比较少见了。。我们需要的是对服务器服务的严格把控。51Testing软件测试网�w!y)}0B5q7x�\�x
51Testing软件测试网(r*\%B5j t�_(l�} 5、DDoS51Testing软件测试网�s,m(?�m(F
A(j:S
51Testing软件测试网�?�e�z�_7l%~�V5i 一般正确的管理员配置可以解决。
,G3H'}/p9t�b�l051Testing软件测试网*D#i�q2f�i 6、同服务器漏洞
S.Y!A�k(]051Testing软件测试网0K�]�V�c�e�b�X�v�}�f 很多的代理服务器的问题,你的网站做得安全,可是在你的服务器上的另外某些站点做得漏洞百出。因为都是同一个服务器的吧。。 所以别人就会利用别的服务器。提权。 然后得到你的服务器权限。
�c�F"A�g�p�K&N0�O&a�A�D�D0 7、社会工程学51Testing软件测试网
H�J;u(B�K4E�D�n
�Q�S�W�~�o%l0 最难防御的问题,在于安全意识本身的加强。
�s�E7p�w o�A�G�v051Testing软件测试网*c�Y�}�K�w r,S 先总结到这里,给自己留下点Memory,之后在此基础上加强。
-K�i�R(o�T:}�j6p�T0
收藏
举报
TAG:
