安全测试需要关注那些要点
上一篇 /
下一篇 2012-11-13 09:05:03
/ 个人分类:杂谈
51Testing软件测试网q5mop2Qq 之前曾简单的介绍了安全测试相关的一些内容,在代码端,我们一般需要做的不多,现在国内比较流行的是Fortify SCA来进行代码安全审核。
T0\RV3^G.vuS0eE4e:kd/QUY4|K0 代码端我们可能遇到的问题主要在于堆栈溢出威胁,IO处理权限,Cache处理权限等问题上面。可以在编程的同时结合一些插件尽可能的避免此类的问题。51Testing软件测试网AF};Y2X#[bR
|eV!Jz'P0 另外做安全测试最重要的是先做渗透攻击,只有在攻击中才能找到漏洞,加以处理。51Testing软件测试网0OD{i\ p)t4G
*i/A#`c Ay8Y.N\!W0 最后为安全测试总结下所知道的一些可能被利用的入侵点:
c*k-X&e-N@3c(tM0
l@`?3s[0 1、SQL注入漏洞51Testing软件测试网!WJ/m%\9Y1i.kOQPw#W$^
(AN#M3zW0 老生常谈了,可以利用漏洞扫描器确定问题的所在,然后使用SPI Dynamics公司的SQL注入器等先进行渗透测试。
ZmG+i7atL:B07C
Hb
~1g#Y/Yd0 2、XSS跨站漏洞51Testing软件测试网/wx?z(IxB L9H
DD o*L"^'l|b#_0 XSS一直是重中之中,我们能做的是不停的扫描,注重问题的解决,在各个开放层面进行扫描。51Testing软件测试网H9p|f$^~
51Testing软件测试网:OP0Mdss 3、服务器溢出漏洞
4r:e8c2@7d8Vg1h051Testing软件测试网?E#pZ%i { 此漏洞目前好象比较少,只要管理员勤打补丁基本没事,不过在很多性能测试不过关的网站上问题比较严重。
p*n8AH/|q1f&b:j