007-安全测试.pptVIP

安全测试工具与实践 产品与质量中心/质量部 2009年6月 TamperIE IBM Rational AppScan 跨站脚本攻击 （Cross Site Scripting简称XSS） 什么是跨站脚本攻击？ 为什么简称为XSS而不是CSS？ 跨站脚本攻击形式与危害 SQL 注入攻击 什么是SQL注入？ 什么情况可能存在SQL注入风险？ 缓冲区溢出攻击（Buffer Overflow） 什么是缓冲区溢出？ 那些程序容易出现缓冲区溢出 TamperIE 功能 监视并截获IE浏览器与服务器之间的HTTP通信 修改HTTP Post/Get数据 应用 登录信息篡改 论坛、留言板信息篡改 一切可提交信息——等待读者开发 IBM Rational AppScan 功能 扫描所有常见的Web 应用漏洞 包括 WASC 威胁分类中标识的漏洞 例如 SQL 注入、跨站点脚本攻击和缓冲区溢出 特点 多语言破解版（方便爱国且无预算的群众使用） 每条问题都有修复建议，生成基于 Word? 模板的报告 应用 客户管理系统CRM 谢谢啊！