网站安全检测(如何检测网站安全？)

制定测试计划，确定测试规模、技术资源网络和测试策略；一个完整的WEB安全测试可以从几个方面入手，如排列和基本构建、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审计和日志记录。举几个例子。

Buryunan

一、对安全部的考验

1.安排和基础设施:网络是否提供安全的通信安排？拓扑结构是否包括内部防火墙布置？拓扑结构是否包括远程应用服务器基础设施？安全要求的限制是什么？目的地环境支持什么样的信任级别？

2.输入验证。如何验证输入？

1)切入点是否明确？

2)技术资源网络边界是否明确可信。

3)是否验证网页输入

4)传递给组件或Web服务的参数是否经过验证？

5)是否验证从数据库中检索的数据

6)方法是否集中？

7)是否附加了客户端的认证。

8)应用程序是否容易受到SQL注入攻击？

9)应用程序容易受到XSS攻击吗？

3.如何处理输入？证明

1)公众访问和限制访问有区别吗？

2)您理解服务帐户请求吗？

3)如何验证来电者身份？

4)如何验证数据库的身份

5)是否强制试行账户管理办法？

4.批准

1)如何授权最终用户？

2)如何授权数据库中程序的应用

3)如何限制对系统级资源技术资源网络的访问？

5.结构管理

1)您支持远程管理吗？

2)是否保证配置存储的安全性？

3)是否要隔离管理员权限？

6.敏感数据

1)是否存储秘密信息

2)如何存储敏感数据

3)是否在网络中传输敏感数据？

4)是否记录了敏感数据？