软件安全是一个广泛而复杂的主题。每个新软件都可能存在新的安全缺陷,这些缺陷完全不符合所有已知模式。避免因安全缺陷而受到各种可能类型的攻击是不现实的。在软件安全测试中,使用一组好的原则来避免不安全软件的上市和不安全软件的攻击是非常重要的。
对网站进行Web安全测试,有利于企业加以提升网络环境的安全性。
Web应用安全检测的主要内容如下:
1、动态跟踪元素属性
2、检查Javascript事件
3、跨站脚本攻击(XSS)
4、跨站请求伪造攻击(CSRF)
5、拒绝服务攻击(DOS)
6、cookie劫持
7、输入验证
8、浏览器安全问题
9、文件上传风险
10、Web服务器端安全性
11、MSI IIS漏洞检验
12、Apache /Tomcat/…漏洞检验
13、内容安全性
14、会话管理
15、截获和修改post请求
16、SQL注入及其实例
17、AJAX安全性测试
18、多系统单点登录机制
19、渗透性Web安全测试
20、使用工具扫描SQL注入漏洞
21、使用Firebug观察实时的请求头
22、使用Webscarab观察实时的post数据
23、使用Tamperdata观察实时的响应头
24、使用curl检验URL重定向攻击
25、使用nikto扫描网站
软件安全测试报告,为系统管理方和建设方提供技术支持。
在企业的信息系统/软件上线前,通常会直接找具有CMA资质第三方检测机构出具一份软件安全测试报告,为后期企业申报国家、省、市科技项目验收、安全软件项目验收等提供验收证明材料,一份报告有多个用处。