a)支配与根本构造
网络是否供应了安全的通信支配拓扑构造是否包括内部的防火墙支配拓扑构造中是否包括远程运用程序做事器根本构造安全性需求的限定是什么目标环境支持若何的信赖级别b)输入验证
c)身份验证
d)授权
如何向终极用户授权如何在数据库中授权运用程序如何将访问限定于系统级资源e)配置管理
是否支持远程管理是否担保配置存储的安全是否隔离管理员特权f)敏感数据
是否存储机密信息如何存储敏感数据是否在网络中通报敏感数据是否记录敏感数据g)会话管理
如何交流会话标识符是否限定会话生存期如何确保会话存储状态的安全h)加密
如何利用特定的算法如何确保加密密钥的安全性i)参数操作
是否验证所有的输入参数是否在参数过程中通报敏感数据是否为了安全问题而利用HTTP头数据j)非常管理
是否利用构造化的非常处理是否向客户端公开了太多的信息k)审核和日志记录
是否明确了要审核的内容是否考虑如何流动原始调用者身份2 . 运用及传输安全WEB运用系统的安全性从利用角度可以分为运用级的安全与传输级的安全,安全性测试也可以从这两方面入手。运用级的安全测试的紧张目的是查找Web系统自身程序设计中存在的安全隐患,紧张测试区域如下。
3 . 注册与上岸
现在的Web运用系统基本采取先注册,后登录的办法。
必须测试有效和无效的用户名和密码要把稳是否存在大小写敏感可以考试测验多少次的限定是否可以不登录而直接浏览某个页面等4 . 在线超时Web运用系统是否有超时的限定,也便是说,用户上岸一定韶光内(例如15分钟)没有点击任何页面,是否须要重新上岸才能正常利用。
5 . 操作留痕
为了担保Web运用系统的安全性,日志文件是至关主要的。须要测试干系信息是否写进入了日志文件,是否可追踪。
6 . 备份与规复
为了戒备系统的意外崩溃造成的数据丢失,备份与规复手段是一个Web系统的必备功能。备份与规复根据Web系统对安全性的哀求可以采取多种手段,如数据库增量备份、数据库完备备份、系统完备备份等。出于更高的安全性哀求,某些实时系统常常会采取双机热备或多级热备。除了对付这些备份与规复办法进行验证测试以外,还要评估这种备份与规复办法是否知足Web系统的安全性需求。
7 . 传输
传输级的安全测试是考虑到Web系统的传输的分外性,重点测试数据经客户端传送到做事器端可能存在的安全漏洞,以及做事器戒备造孽访问的能力。
8 . HTTPS和SSL测试
默认的情形下,安全HTTP(Soure HTTP)通过安全套接字SSL(Source Socket Layer)协议在端口443上利用普通的HTTP。HTTPS利用的公共密钥的加密长度决定的HTTPS的安全级别,但从某种意义上来说,安全性的担保因此丢失性能为代价的。除了还要测试加密是否精确、检讨信息的完全性和确认HTTPS的安全级别外,还要把稳在此安全级别下,其性能是否达到哀求。
9 . 做事器真个脚本漏洞检讨
存在于做事器真个脚本常常构成安全漏洞,这些漏洞又每每被黑客利用。以是,还要测试没有经由授权,就不能在做事器端放置和编辑脚本的问题。
10 . 防火墙测试
防火墙是一种紧张用于防护造孽访问的路由器,在Web系统中是很常用的一种安全系统。防火墙测试是一个很大很专业的课题。这里所涉及的只是对防火墙功能、设置进行测试,以判断本Web系统的安全需求。
下面给大家安利一些好用的测试工具,包括安全测试和渗透测试。
一、安全测试工具1. AppScan
一款安全漏洞扫描工具,支持Web端和移动端,它相称于是"探索"和"测试"的过程,最终生成很直不雅观的测试报告,有助于研发职员对漏洞进行剖析和修复。
官网:https://www.ibm.com/developerworks/downloads/r/appscan/
参考:https://www.cnblogs.com/benpao1314/p/8065720.html
2. Acunetix
一款网络漏洞扫描软件,它可以检测网络的安全漏洞。
官网:https://www.acunetix.com/
3. Nmap
一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些做事运行在哪些连接端,并且推断打算机运行哪个操作系统(这是亦称 fingerprinting)。
官网:https://nmap.org/
参考:https://blog.csdn.net/m0_37268841/article/details/80404613
4. OpenVAS
一个开放式漏洞评估系统,也可以说它是一个包含着干系工具的网络扫描器。其核心部件是一个做事器,包括一套网络漏洞测试程序,可以检测远程系统和运用程序中的安全问题。OpenVas做事端只许可安装在Linux系统上。
官网:http://www.openvas.org/
参考:https://www.freebuf.com/column/158357.html
5. msfvenom
参考:https://www.offensive-security.com/metasploit-unleashed/msfvenom/
6. fortify
静态代码检讨工具
官网:http://www.fortify.net/README.html
参考:https://www.cnblogs.com/eyesmoon/p/7421477.html
参考:https://www.freebuf.com/sectool/95683.html
7. Drozer
MWR Labs开拓的一款Android安全测试框架。是目前最好的Android安全测试工具之一。
官网:https://labs.mwrinfosecurity.com/publications/
参考:https://www.cnblogs.com/lsdb/p/9441813.html
8. nessus
一款号称是天下上最盛行的漏洞扫描程序,全天下有超过75000个组织在利用它。该工具供应完全的电脑漏洞扫描做事,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞剖析扫描。Nessus也是渗透测试主要工具之一。
官网:https://www.tenable.com/downloads/nessus
参考:https://www.cnblogs.com/cheyunhua/p/8084459.html
9. zap
OWASP Zed攻击代理(ZAP)是天下上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极掩护。它可以帮助在开拓和测试运用程序时自动查找Web运用程序中的安全漏洞。
官网:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
参考:https://www.fujieace.com/kali-linux/owasp-zed-zap.html
二、渗透测试工具
1. Burp Suite
一款信息安全从业职员必备的集成型的渗透测试工具,它采取自动测试和半自动测试的办法,包含了 Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer等工具模块;Proxy功能可以拦截HTTP/S的代理做事器(手机和web);Spide功能是智能感应的网络爬虫;Intruder功能可以对web运用程序进行自动化攻击等,非常适宜做安全测试。通过拦截HTTP/HTTPS的web数据包,充当浏览器和干系运用程序的中间人,进行拦截、修正、重放数据包进行测试,是Web安全职员的一把必备的瑞士军刀。
官网:https://portswigger.net/burp/
参考:https://www.cnblogs.com/nieliangcai/p/6692296.html
2. sqlmap
一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库做事器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件乃至可以通过外带数据连接的办法实行操作系统命令。
官方网站:http://sqlmap.org/
下载地址:https://github.com/sqlmapproject/sqlmap/zipball/master
演示视频:https://asciinema.org/a/46601
教程:http://www.youtube.com/user/inquisb/videos
参考:https://www.freebuf.com/sectool/164608.html
