隨着互聯網應用的普及,軟件安全性越來越重要,今天我整理了一個軟件安全性測試的列表,請大家仔細看看,看看有沒有漏項,多給力,給予補充,在此謝過!
主題 |
項目列表 |
系統安全性及其測試方法 |
³ 軟件系統的安全性 ³ 系統安全規範與標準 ³ 源代碼評審方法 ³ 基於風險的安全測試 ³ 滲透性測試方法 ³ 模糊測試方法 |
代碼安全性檢驗 |
³ 程序代碼安全性 ³ C++/Java安全性列表(Checklist) ³ JavaScript安全性列表 ³ 代碼安全性掃描工具 |
Web安全性測試 |
³ 動態跟蹤元素屬性 ³ 檢測JavaScript事件 ³ 跨站腳本攻擊(XSS) ³ 跨站請求僞造攻擊(CSRF) ³ 拒絕服務攻擊(DoS) ³ Cookie劫持 ³ 輸入驗證 ³ 瀏覽器安全問題 ³ 文件上傳風險 ³ Web服務器端安全性 ³ MS IIS 漏洞檢驗 ³ Apache /Tomcat/...漏洞檢驗 ³ 內容安全性 ³ 會話管理 ³ 截獲和修改post請求 ³ SQL注入及其實例 ³ AJAX安全性測試 ³ 多系統單點登錄機制 ³ 滲透性Web安全測試 ³ 使用工具掃描SQL注入漏洞 ³ 使用Firebug觀察實時的請求頭 ³ 使用Webscarab觀察實時的post數據 ³ 使用Tamperdata觀察實時的響應頭 ³ 使用curl檢驗URL重定向攻擊 ³ 使用nikto掃描網站 |
系統功能安全性驗證 |
³ 口令安全性 ³ 身份驗證 ³ 用戶權限 ³ 非授權攻擊 ³ 訪問控制策略 ³ 操作日誌檢查 ³ 配置管理 ³ 功能失效、異常帶來的安全風險 |
數據安全性驗證 |
³ 數據編碼驗證 ³ 數據加密和解密 ³ 系統數據完整性 ³ 數據管理性 ³ 數據的獨立性 ³ 數據備份和災難恢復 |
網絡和通信安全性檢驗 |
³ 協議一致性驗證 ³ 防火牆 ³ 入侵檢測技術 ³ 網絡攔截 ³ IPSec/SSL VPN ³ PKI/CA ³ 網絡漏洞檢查工具 |