之前曾簡單的介紹了安全測試相關的一些內容,在代碼端����,我們一般需要做的不多�,現在國內比較流行的是Fortify SCA來進行代碼安全審核�����。
代碼端我們可能遇到的問題主要在于堆棧溢出威脅���,IO處理權限�,Cache處理權限等問題上面���??梢栽诰幊痰耐瑫r結合一些插件盡可能的避免此類的問題。
另外做安全測試最重要的是先做滲透攻擊����,只有在攻擊中才能找到漏洞�����,加以處理。
最后為安全測試總結下所知道的一些可能被利用的入侵點:
1����、SQL注入漏洞
老生常談了����,可以利用漏洞掃描器確定問題的所在�����,然后使用SPI Dynamics公司的SQL注入器等先進行滲透測試。
2��、XSS跨站漏洞
XSS一直是重中之中���,我們能做的是不停的掃描�,注重問題的解決,在各個開放層面進行掃描。
3、服務器溢出漏洞
此漏洞目前好象比較少�,只要管理員勤打補丁基本沒事�,不過在很多性能測試不過關的網站上問題比較嚴重�����。
4�����、上傳漏洞
利用上傳漏洞能直接得到WEBSHELL,危害等級終極高,之前比較流行。目前都比較少見了。�����。我們需要的是對服務器服務的嚴格把控����。
5、DDoS
一般正確的管理員配置可以解決����。
6�����、同服務器漏洞
很多的代理服務器的問題,你的網站做得安全,可是在你的服務器上的另外某些站點做得漏洞百出���。因為都是同一個服務器的吧。。 所以別人就會利用別的服務器�����。提權�。 然后得到你的服務器權限。
7、社會工程學
最難防御的問題,在于安全意識本身的加強��。
先總結到這里���,給自己留下點Memory��,之后在此基礎上加強��。