安全测试
软件安全性测试包括程序、数据库安全性测试,根据系统安全指标不同测试策略也不同
软件安全性测试的作用:
1.能明确区分系统中不同用户权限
2.能判断软件系统中是否会出现用户冲突
3.能判断系统是否会因用户的权限的改变造成混乱。
4.用户登录密码是否是可见、可复制
5.是否可以通过途径登录系统(拷贝用户登录后的链接直接进入系统)
6.用户退出系统后是否删除所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统。
Web安全性测试涉及内容:
1.动态跟踪元素属性
2.检查JavaScript事件
3.跨站脚本攻击(XSS)
4.跨站请求伪造攻击(CSRF)
5.拒绝服务攻击(DOS)
6.Cookie劫持
7.输入验证
8.浏览器安全问题
9.文件上传风险
10.Web服务器端安全性
11.MSIIIS漏洞检验
12.Apache/Tomcat/…漏洞检验
13.内容安全性
14.会话管理
15.截获和修改post请求
16.SQL注入及其实例
17.AJAX安全性测试
18.多系统单点登录机制
19.渗透性Web安全测试
20.使用工具扫描SQL注入漏洞
21.使用Firebug观察实时的请求头
22.使用Webscarab观察实时的post数据
23.使用Tamperdata观察实时的响应头
24.使用curl检验URL重定向攻击
25.使用nikto扫描网站
软件安全属于软件领域里一个重要的子领域。在以前的单机时代,安全问题主要是操作系统容易感染病毒,单机应用程序软件安全问题并不突出。但是自从互联网普及后,软件安全问题愈加显加突显,使得软件安全性测试的重要性上升到一个前所未有的高度。
标签:软件安全、漏洞扫描