本文转载至 http://blog.csdn.net/kerryzhu/article/details/6162078
| 主题 |
项目列表 |
| 系统安全性及其测试方法 |
软件系统的安全性 系统安全规范与标准 源代码评审方法 基于风险的安全测试
扫描二维码关注公众号,回复:
4813086 查看本文章
渗透性测试方法 模糊测试方法 |
| 代码安全性检验 |
程序代码安全性 C++/Java安全性列表(Checklist) JavaScript安全性列表 代码安全性扫描工具 |
| Web安全性测试 |
动态跟踪元素属性 检测JavaScript事件 跨站脚本攻击(XSS) 跨站请求伪造攻击(CSRF) 拒绝服务攻击(DoS) Cookie劫持 输入验证 浏览器安全问题 文件上传风险 Web服务器端安全性 MS IIS 漏洞检验 Apache /Tomcat/...漏洞检验 内容安全性 会话管理 截获和修改post请求 SQL注入及其实例 AJAX安全性测试 多系统单点登录机制 渗透性Web安全测试 使用工具扫描SQL注入漏洞 使用Firebug观察实时的请求头 使用Webscarab观察实时的post数据 使用Tamperdata观察实时的响应头 使用curl检验URL重定向攻击 使用nikto扫描网站 |
| 系统功能安全性验证 |
口令安全性 身份验证 用户权限 非授权攻击 访问控制策略 操作日志检查 配置管理 功能失效、异常带来的安全风险 |
| 数据安全性验证 |
数据编码验证 数据加密和解密 系统数据完整性 数据管理性 数据的独立性 数据备份和灾难恢复 |
| 网络和通信安全性检验 |
协议一致性验证 防火墙 入侵检测技术 网络拦截 IPSec/SSL VPN PKI/CA 网络漏洞检查工具 |