安全性测试的主要目的是查找软件自身程序设计中存在的安全隐患,并查找应用程序对非法入侵的防范能力,根据安全指标不同测试策略也不同。
安全测试主要层次:应用层安全(常用)、系统层安全、网络层安全、物理层及管理安全、云安全。
应用层安全:账号管理(例如:用工具截取;暴力攻击,根据提示破解密码)、身份验证、验证码、强口令策略(例如:指纹验证)、会话管理、认证失败策略、权限鉴别、禁用未公开接口权限管理、敏感数据保护、隐私保护、加密保护等,安全日志、业务流程的安全
白盒渗透:SQL注入、反射型xx注入、储存型注入、上传下载、越权。。。(代码中是否有测试账号显示,最高权限的用户是否屏蔽、测试的ip和url地址是否存储;工具boxvu拦截,appscada扫描等)
待完善。。。