Web和APP应用,可以按照下面的方案进行,这个方案其实算一个全方位的安全审计。我只是把目录列了出来,详细的测试工具和方法可以自行搜索。
测试对象:服务器、Servlet容器、数据库、第三方服务及接口、Web应用程序。
应用程序部署环境(服务器):
操作系统用户名及密码强度
操作系统用户、用户组及权限设置
系统漏洞及补丁
系统端口安全
应用部署环境目录及文件安全
防火墙及网络端口设置
数据库(主要对数据库的授权、账户、口令等安全设置及数据库环境安全等进行测试):
数据库服务器版本及漏洞
用户名、密码设置
数据库用户权限设置及授权设置
数据库服务器端口及网络连接设置(关闭公网访问及不必要的端口)
Web应用安全测试及工具:
SQL注入(SQL Inject Me)
表单漏洞
Cookie欺骗
Session测试
日志文件测试
第三方接口服务
安全测试跨站脚本攻击(ZAP )
认证及会话攻击(Hackbar)
不安全对象直接引用攻击(Burp)
CSRF(Tamper Data)
安全配置错误(Watobo)
加密存储
不限制访问者URL(Nikto/Wikto)
传输层面安全隐患(Calomel)
未经验证的重定向及转发(Watcher)
文件操作
命令注入测试
第三方服务接口及接口测试(例如短信、邮件、支付、APP Push等服务):
系统/服务版本及漏洞
安全性配置测试
数据传输安全性测试
数据合法性测试
数据完整性测试
Copyright© 2004-2020 河南海腾电子技术有限公司 版权所有 经营性ICP/ISP证 备案号:B1-20180452
豫公网安备 41019702002018号
电子营业执照
400-6717-361
