**層面安全保障【掃瞄】+業務層面安全保障
破壞者思維審視需求,找出存在的漏洞,找出可以破壞的規則
垂直許可權攻擊又叫做許可權提公升攻擊。其原理是由於web應用沒有做許可權控制,或僅僅在選單上做了許可權控制,導致惡意使用者只要猜測其他管理頁面的url,就可以訪問或控制其他角色擁有的資料或頁面,達到許可權提公升的目的。
xss攻擊,跨站指令碼導致會話被劫持、敏感資訊洩露、賬戶被盜
水平許可權漏洞是指web應用程式接收到使用者請求時,沒有判斷資料的所屬人,或者在判斷資料所屬人時是從使用者提交的引數中獲取了userid,導致攻擊者可以自行修改userid修改不屬於自己的資料。
伺服器端口的測試,對有些自建機房,直接通過物理機進行部署的會很有用處,比如有些不需要使用的埠對外開放了,惡意使用者可能利用該埠從事一些非法操作,我們可以通過nmap進行伺服器的埠掃瞄,非必須的埠要關閉
效能測試 效能測試關注的幾個重要概念
併發 一種是所有使用者在同一時刻做同乙個操作 一種是多個使用者對系統進行了操作 此操作可相同可不同 求併發使用者數公式 在實際的效能測試工作中,測試人員一般比較關心的是業務併發使用者數,也就是從業務的角度關注應該設定多少個併發數比較合理。下面找乙個典型的上班簽到系統,早上8點上班,7點半到8點的30...
軟體的安全性應從哪幾個方面去測試?
軟體安全性測試包括程式 資料庫安全性測試。根據系統安全指標不同測試策略也不同。1.明確區分系統中不同使用者許可權 2.系統中會不會出現使用者衝突 3.系統會不會因使用者的許可權的改變造成混亂 4使用者登陸密碼是否是可見 可複製 5是否可以通過絕對途徑登陸系統 拷貝使用者登陸後的鏈結直接進入系統 6使...
軟體的安全性應從哪幾個方面去測試?
軟體安全性測試包括程式 資料庫安全性測試。根據系統安全指標不同測試策略也不同。1.使用者認證安全的測試要考慮問題 明確區分系統中不同使用者許可權 系統中會不會出現使用者衝突 系統會不會因使用者的許可權的改變造成混亂 使用者登陸密碼是否是可見 可複製 是否可以通過絕對途徑登陸系統 拷貝使用者登陸後的鏈...