软件系统安全性测试列表

随着互联网应用的普及，软件安全性越来越重要，今天我整理了一个软件安全测试的列表，请大家仔细看看，看看有没有漏项，多给力，给予补充，在此谢过！

1. 系统安全性及测试方法

1. 软件系统的安全性
2. 系统安全规范与标准
3. 源代码评审方法
4. 基于风险的安全测试
5. 渗透性测试方法
6. 模糊测试方法

2. 代码安全性检验

1. 程序代码安全性
2. C++/Java安全性列表
3. JavaScript安全性列表
4. 代码安全性扫描工具

3. Web安全性测试

1. 动态跟踪元素属性
2. 检查JavaScript事件
3. 跨站脚本攻击（XSS）
4. 跨站请求伪造攻击（CSRF）
5. 拒绝服务攻击（DOS）
6. Cookie劫持
7. 输入验证
8. 浏览器安全问题
9. 文件上传风险
10. Web服务器端安全性
11. MSI IIS漏洞检验
12. Apache /Tomcat/…漏洞检验
13. 内容安全性
14. 会话管理
15. 截获和修改post请求
16. SQL注入及其实例
17. AJAX安全性测试
18. 多系统单点登录机制
19. 渗透性Web安全测试
20. 使用工具扫描SQL注入漏洞
21. 使用Firebug观察实时的请求头
22. 使用Webscarab观察实时的post数据
23. 使用Tamperdata观察实时的响应头
24. 使用curl检验URL重定向攻击
25. 使用nikto扫描网站

4. 系统功能安全性验证

1. 口令安全性
2. 身份验证
3. 用户权限
4. 非授权攻击
5. 访问控制策略
6. 操作日志检查
7. 配置管理
8. 功能失效、异常带来的安全风险

5. 数据安全性验证

1. 数据编码验证
2. 数据加密和解密
3. 系统数据完整性
4. 数据管理性
5. 数据独立性
6. 数据备份和灾难恢复

6. 网络和通信安全性检验

1. 协议一致性验证
2. 防火墙
3. 入侵检测技术
4. 网络拦截
5. IPSec/SSL VPN
6. PKI/CA
7. 网络漏洞检查工具