分类：软件安全测试，硬件设备安全测试。

软件类安全测试

不必借助工具的测试项

• 暴力破解预防措施：5次错误锁定，验证码等措施。

• 密码复杂度校验：通常规格的大小写，长度限制。

• 管理账号禁用：例如Linux的root要禁止直接SSH，windows的administrator要禁用。

• 认证，重要控制，需在服务端进行：可用抓包软件看是否产生调用。

• 报错信息，不能提示具体错误原因：需要注意，不要一味追求用户体验。

• 禁止提供“自动登录/记住我”功能：假如客户需要，也得是客户去手动开启这个功能。

• 重要事务需重新认证：比如手机银行，切换后台运行2-5分钟就会要求重新登录。

• 短信验证码失效机制：重发，前笔失效，一定时间失效，使用后失效。

• 用户修改自己口令时必须验证旧口令，定期强制修改口令，强制修改初始密码。不可明文显示口令。口令输入框不支持拷贝黏贴。口令数据库存储时加密处理。第三方和开源软件禁止使用缺省口令（合作商常有的情况），篡改账号模拟修改口令post请求。

• 会话管理：超时机制（不可被绕过）；提供“注销/退出”按钮、菜单或命令，关闭浏览器或客户端保证清除会话。清除的标准，可以抓取cookie，用接口测试软件尝试。多端同时登录限制及告警！会话cookie属性设置为HttpOnly

• 敏感数据保护：代码中不可有类似密码，身份证号等数据；禁止认证凭据明文形式存储；银行账号保护；禁止在任何日志中打印口令、银行账号、身份证号码、通信内容；

• 禁止在 cookie 中以明文形式存储敏感数据；敏感数据应该以POST形式提交。敏感数据加密传输。禁止在 URL 中携带会话标识。

• 加密解密：必须使用安全标准的算法，禁止私人制作加解密算法。

• 业务运行安全：管理功能，业务功能，独立部署。（现实很少有能独立部署的）

• 业务接口认证要求：登录后的请求，大体上都需要参数里面带一个认证参数。

• 关闭非必需端口。禁止监听全网IP

• 安全日志：对安全事件及操作事件记录日志

• 上传：文件类型上传限制，大小限制，上传、下载路径限制，禁止将文件绝对路径发送到客户端

• 禁止存储并执行非可信来源的文件和代码

• 网络安全设计：网络拓扑图鉴别。安全域划分，平面隔离（untrust、DMZ、trust）

• 边界安全控制：防火墙设备，进出策略。

• 远程访问安全：远程访问记录，操作人，操作日志。

• 合法监听：遵循国际标准
  

专业工具测试

业务安全类：Appscan、SenInfo、AWVS等；

协议安全类：Codenomicon、Peach、Attacker等；

主机安全类：Nmap、Nessus、Openvas、SecureCAT、杀毒云等；

• 操作系统安全：windows漏洞，Linux漏洞扫描。

• 数据库安全：专业工具扫描。

• web容器安全：工具扫描

Nmap工具体验

主要是通讯端口的扫描

Appscan工具体验

主要是web漏洞的扫描

Codenomicon工具体验

主要是协议健壮性扫描