安全测试需要关注那些要点

发表于:2012-11-12 10:42  作者:未知   来源:51Testing软件测试网采编

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 软件测试 安全测试

  之前曾简单的介绍了安全测试相关的一些内容,在代码端,我们一般需要做的不多,现在国内比较流行的是Fortify SCA来进行代码安全审核。

  代码端我们可能遇到的问题主要在于堆栈溢出威胁,IO处理权限,Cache处理权限等问题上面。可以在编程的同时结合一些插件尽可能的避免此类的问题。

  另外做安全测试最重要的是先做渗透攻击,只有在攻击中才能找到漏洞,加以处理。

  最后为安全测试总结下所知道的一些可能被利用的入侵点:

  1、SQL注入漏洞

  老生常谈了,可以利用漏洞扫描器确定问题的所在,然后使用SPI Dynamics公司的SQL注入器等先进行渗透测试。

  2、XSS跨站漏洞

  XSS一直是重中之中,我们能做的是不停的扫描,注重问题的解决,在各个开放层面进行扫描。

  3、服务器溢出漏洞

  此漏洞目前好象比较少,只要管理员勤打补丁基本没事,不过在很多性能测试不过关的网站上问题比较严重。

  4、上传漏洞

  利用上传漏洞能直接得到WEBSHELL,危害等级终极高,之前比较流行。目前都比较少见了。。我们需要的是对服务器服务的严格把控。

  5、DDoS

  一般正确的管理员配置可以解决。

  6、同服务器漏洞

  很多的代理服务器的问题,你的网站做得安全,可是在你的服务器上的另外某些站点做得漏洞百出。因为都是同一个服务器的吧。。 所以别人就会利用别的服务器。提权。 然后得到你的服务器权限。

  7、社会工程学

  最难防御的问题,在于安全意识本身的加强。

  先总结到这里,给自己留下点Memory,之后在此基础上加强。

评 论

  • bob123654 (2012-11-13 09:16:01)

    写的太简单了 期待作者有更详细的文章介绍安全测试

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2018, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道