之前曾簡單的介紹了安全測試相關的一些內容���,在代碼端���,我們一般需要做的不多����,現在國內比較流行的是Fortify SCA來進行代碼安全審核����。
代碼端我們可能遇到的問題主要在于堆棧溢出威脅,IO處理權限,Cache處理權限等問題上面。可以在編程的同時結合一些插件盡可能的避免此類的問題。
另外做安全測試最重要的是先做滲透攻擊����,只有在攻擊中才能找到漏洞,加以處理����。
最后為安全測試總結下所知道的一些可能被利用的入侵點:
1�����、SQL注入漏洞
老生常談了,可以利用漏洞掃描器確定問題的所在�����,然后使用SPI Dynamics公司的SQL注入器等先進行滲透測試�����。
2�、XSS跨站漏洞
XSS一直是重中之中���,我們能做的是不停的掃描�����,注重問題的解決����,在各個開放層面進行掃描��。
3��、服務器溢出漏洞
此漏洞目前好象比較少,只要管理員勤打補丁基本沒事�����,不過在很多性能測試不過關的網站上問題比較嚴重��。
4、上傳漏洞
利用上傳漏洞能直接得到WEBSHELL����,危害等級終極高�����,之前比較流行。目前都比較少見了�����。。我們需要的是對服務器服務的嚴格把控����。
5�����、DDoS
一般正確的管理員配置可以解決。
6����、同服務器漏洞
很多的代理服務器的問題�,你的網站做得安全�����,可是在你的服務器上的另外某些站點做得漏洞百出。因為都是同一個服務器的吧�����。���。 所以別人就會利用別的服務器���。提權�����。 然后得到你的服務器權限�����。
7、社會工程學
最難防御的問題��,在于安全意識本身的加強�����。
先總結到這里��,給自己留下點Memory,之后在此基礎上加強�。