安全测试关注点

安全测试关注点

目录

• 1、用户认证安全方面的测试
• 2、系统网络安全方面的测试
• 3、数据库安全方面的测试
• 4、APP端安全方面的测试
• 5、服务端安全方面的测试

1、用户认证安全方面的测试

1、系统是否划分不同权限的用户

2、系统中不会出现用户冲突

3、用户权限修改后是否造成系统用户混乱

4、密码是否可复制、可破解

5、是否可以通过绝对路径直接登录系统（拷贝已登录系统的链接看是否直接进入系统）

6、用户退出系统后，是否删除所有鉴权标志，是否可以通过后退键而不通过输入用户口令直接进入系统

2、系统网络安全方面的测试

1、测试采取的防护措施是否正确装配好，有关系统的补丁是否打上

2、模拟非授权攻击，看防护系统是否坚固

3、采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是NBSI系列和IPhacker IP）

4、采用各种木马检查工具检查系统木马情况

5、采用各种防外挂工具检查系统各组程序的外挂漏洞

3、数据库安全方面的测试

1、系统数据是否机密（比如银行系统）

2、系统数据的完整性

3、系统数据的可管理理性

4、系统数据的独立性

5、系统数据是否可以正常备份和恢复（数据备份是否完整，可否恢复，恢复是否可以完整）

4、APP端安全方面的测试

1、敏感信息泄露漏洞

2、备份功能开启漏洞

3、本地拒绝服务漏洞

4、任意调试漏洞

5、HTTPS中间人劫持漏洞

6、加密算法漏洞

5、服务端安全方面的测试

1、SQL注入漏洞

2、文件上传漏洞

3、越权漏洞

4、XSS漏洞

5、业务逻辑漏洞

6、接口未限制导致撞库