安全性测试初步接触探讨.ppt

初步分类： 权限 （黑盒+sql注入+目录遍历+非法文件与文字上传与写入） 加密 （网络传输、本地cookie、源文件、认证与会话） 攻击 （缓冲区溢出、sql注入、异常处理信息、端口扫描、服务器攻击、跨站脚本攻击、http回车换行注入攻击、代码注入、url重定向、google攻击） 做的比较粗糙，大家在这块有什么可以交流下， 消逝 黑盒主要测试点 用户管理模块，权限管理模块，加密系统，认证系统等 工具使用 Appscan（首要）、Acunetix Web Vulnerability Scanner（备用）、HttpAnalyzerFull、TamperIESetup 木桶原理 安全性最低的模块将成为瓶颈，需整体提高 他人模型（虽然比较旧了） （一）可手工执行或工具执行 输入的数据没有进行有效的控制和验证 用户名和密码 直接输入需要权限的网页地址可以访问 上传文件没有限制（此次不需要） 不安全的存储 操作时间的失效性 1.1）输入的数据没有进行有效的控制和验证 数据类型（字符串，整型，实数，等） 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否