Topsummit构筑系统的Web安全性测试体系—科大讯飞..pptVIP

吴如伟 测试技术部经理 讯飞研究院测试团队负责人 讯飞教育公司金牌讲师 飞测论坛| 合肥首届测试技术嘉年华| 关注+制度+工具 网络行为实时监控 现网安全巡检 安全应急响应 WebGoat Backtrack5 体系之四 安全检测 测试执行 手工用例执行 测试工具扫描 配置项检查 结果分析 结果收集整理 结果分析确认 修复验证 修复缺陷验证 相关资料 测试结论模板 完全流程 威胁建模 主机、端口扫描 数据库扫描 应用程序、接口扫描 代码扫描 渗透测试 攻击测试 精减流程 应用程序、接口扫描 代码扫描 渗透测试 攻击测试 最简流程 应用程序、接口扫描 渗透测试 攻击测试 漏洞遗漏率5% 执行效率提升33% 践行四 测试or渗透orBug OK!到这里你就收手吧！ ?php @eval($_POST[a]);? 践行四 评估系统安全风险 Risk = Likelihood * Impact 风险=可能性*影响 体系之五 系统监测 实时监测 网络故障监控 系统内容匹配监测 网络攻击监测 消息通知 短信邮件通知 日志信息记录 相关资料 监测工具 网络故障监测　 网络是否连通监测　 网络响应时间监测 系统内容匹配监测　 监测系统内容是否被恶意修改 系统挂马监测等 网络攻击监测　 攻击性操作监测　 大访问量监测 日志行为分析跟踪 权限设置确保受限 用户鉴