您現(xiàn)在的位置:首頁 >關于我們 >行業(yè)新聞 >web網(wǎng)站做安全測試,找漏洞

web網(wǎng)站做安全測試,找漏洞

時間:2016年8月26日

Web和APP應用,可以按照下面的方案進行,這個方案其實算一個全方位的安全審計。我只是把目錄列了出來,詳細的測試工具和方法可以自行搜索。
測試對象:服務器、Servlet容器、數(shù)據(jù)庫、第三方服務及接口、Web應用程序。
應用程序部署環(huán)境(服務器):
 操作系統(tǒng)用戶名及密碼強度
 操作系統(tǒng)用戶、用戶組及權限設置
 系統(tǒng)漏洞及補丁
 系統(tǒng)端口安全
 應用部署環(huán)境目錄及文件安全
 防火墻及網(wǎng)絡端口設置
 數(shù)據(jù)庫(主要對數(shù)據(jù)庫的授權、賬戶、口令等安全設置及數(shù)據(jù)庫環(huán)境安全等進行測試):
 數(shù)據(jù)庫服務器版本及漏洞
 用戶名、密碼設置
 數(shù)據(jù)庫用戶權限設置及授權設置
 數(shù)據(jù)庫服務器端口及網(wǎng)絡連接設置(關閉公網(wǎng)訪問及不必要的端口)
Web應用安全測試及工具:
 SQL注入(SQL Inject Me)
 表單漏洞
 Cookie欺騙
 Session測試

日志文件測試

第三方接口服務

安全測試跨站腳本攻擊(ZAP )

認證及會話攻擊(Hackbar)
 不安全對象直接引用攻擊(Burp)
 CSRF(Tamper Data)
 安全配置錯誤(Watobo)
 加密存儲
 不限制訪問者URL(Nikto/Wikto)
 傳輸層面安全隱患(Calomel)
 未經(jīng)驗證的重定向及轉發(fā)(Watcher)
 文件操作
 命令注入測試
第三方服務接口及接口測試(例如短信、郵件、支付、APP Push等服務):
 系統(tǒng)/服務版本及漏洞
 安全性配置測試
 數(shù)據(jù)傳輸安全性測試
 數(shù)據(jù)合法性測試
 數(shù)據(jù)完整性測試

Copyright© 2004-2020 河南海騰電子技術有限公司 版權所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照