随着互联网应用的普及,软件安全性越来越重要,今天我整理了一个软件安全测试的列表,请大家仔细看看,看看有没有漏项,多给力,给予补充,在此谢过!
1. 系统安全性及测试方法 软件系统的安全性系统安全规范与标准源代码评审方法基于风险的安全测试渗透性测试方法模糊测试方法 2. 代码安全性检验 程序代码安全性C++/Java安全性列表JavaScript安全性列表代码安全性扫描工具 3. Web安全性测试 动态跟踪元素属性检查JavaScript事件跨站脚本攻击(XSS)跨站请求伪造攻击(CSRF)拒绝服务攻击(DOS)Cookie劫持输入验证浏览器安全问题文件上传风险Web服务器端安全性MSI IIS漏洞检验Apache /Tomcat/…漏洞检验内容安全性会话管理截获和修改post请求SQL注入及其实例AJAX安全性测试多系统单点登录机制渗透性Web安全测试使用工具扫描SQL注入漏洞使用Firebug观察实时的请求头使用Webscarab观察实时的post数据使用Tamperdata观察实时的响应头使用curl检验URL重定向攻击使用nikto扫描网站 4. 系统功能安全性验证 口令安全性身份验证用户权限非授权攻击访问控制策略操作日志检查配置管理功能失效、异常带来的安全风险 5. 数据安全性验证 数据编码验证数据加密和解密系统数据完整性数据管理性数据独立性数据备份和灾难恢复 6. 网络和通信安全性检验 协议一致性验证防火墙入侵检测技术网络拦截IPSec/SSL VPNPKI/CA网络漏洞检查工具