主题

项目列表

系统安全性及其测试方法

³ 软件系统的安全性

³ant: normal; font-style: normal; font-family: 'times new roman'; font-weight: normal">  系统安全规范与标准

³  源代码评审方法

³  基于风险的安全测试

³  ***性测试方法 

³  模糊测试方法

代码安全性检验

³  程序代码安全性

³  C++/Java安全性列表(Checklist

³  JavaScript安全性列表

³  代码安全性扫描工具

Web安全性测试

³  动态跟踪元素属性

³  检测JavaScript事件

³  跨站脚本***(XSS

³  跨站请求伪造***(CSRF

³  拒绝服务***(DoS)

³  Cookie劫持

³  输入验证

³  浏览器安全问题

³  文件上传风险

³  Web服务器端安全性

³  MS IIS 漏洞检验

³  Apache /Tomcat/...漏洞检验

³  内容安全性

³  会话管理

³  截获和修改post请求

³  SQL注入及其实例

³  AJAX安全性测试

³  多系统单点登录机制

³  ***性Web安全测试

³  使用工具扫描SQL注入漏洞

³  使用Firebug观察实时的请求头 

³  使用Webscarab观察实时的post数据 

³  使用Tamperdata观察实时的响应头

³  使用curl检验URL重定向***

³  使用nikto扫描网站

系统功能安全性验证

³  口令安全性

³  身份验证

³  用户权限

³  非授权***

³ 访问控制策略

³  操作日志检查

³  配置管理

³  功能失效、异常带来的安全风险

数据安全性验证

³ 数据编码验证

³ 数据加密和解密

³ 系统数据完整性

³ 数据管理性

³ 数据的独立性

³  数据备份和灾难恢复

网络和通信安全性检验

³  协议一致性验证

³  防火墙

³  ***检测技术

³  网络拦截

³  IPSec/SSL ×××

³  PKI/CA

³  网络漏洞检查工具

1、扫描工具:

  • Web Vulnerability Scanner
  • Ratproxy

2、嗅探工具:

  • Wireshark
  • Fiddler2
  • WebScarab
  • burpsuite
  • SPIKE Proxy
  • appsniff
  • httpwatch
  • Paros

3、测试工具:

  • AppScan
  • Web2Fuzz
  • pangolin
  • sqlmap
  • Firefox+插件:
    1. FileEncrypter -- HASH转换
    2. nftools -- HASH转换
    3. Greasemonkey -- 在网页内实时插入脚本
    4. hackbar -- SQl注入辅助
    5. Add n Edit Cookies  -- 编辑COOKIES
    6. Poster -- 自定义构造POST的提交(包括文件上传)
    7. RefControl -- 编辑REF来源等
    8. Live HTTP Headers -- 记录GET和POST并可以replay修改HTTP请求包
    9. Tamper Data -- 监视所有的GET和POST提交
    10. User Agent Switcher -- 可以伪造User Agent
    11. View Dependencies -- 展示页面所有相关的文件
    12. Web Developer -- 控制打开关闭HTML元素
    13. Jsview -- 查看整个页面的JS
    14. FormFox -- 自动识别提交表单指向的URL
    15. FireBug -- 自动查找页面语法错误
    16. httpfox -- http协议分析器