安全测试入门
分类:软件安全测试,硬件设备安全测试。
软件类安全测试
不必借助工具的测试项
暴力破解预防措施:5次错误锁定,验证码等措施。
密码复杂度校验:通常规格的大小写,长度限制。
管理账号禁用:例如Linux的root要禁止直接SSH,windows的administrator要禁用。
认证,重要控制,需在服务端进行:可用抓包软件看是否产生调用。
报错信息,不能提示具体错误原因:需要注意,不要一味追求用户体验。
禁止提供“自动登录/记住我”功能:假如客户需要,也得是客户去手动开启这个功能。
重要事务需重新认证:比如手机银行,切换后台运行2-5分钟就会要求重新登录。
短信验证码失效机制:重发,前笔失效,一定时间失效,使用后失效。
用户修改自己口令时必须验证旧口令,定期强制修改口令,强制修改初始密码。不可明文显示口令。口令输入框不支持拷贝黏贴。口令数据库存储时加密处理。第三方和开源软件禁止使用缺省口令(合作商常有的情况),篡改账号模拟修改口令post请求。
会话管理:超时机制(不可被绕过);提供“注销/退出”按钮、菜单或命令,关闭浏览器或客户端保证清除会话。清除的标准,可以抓取cookie,用接口测试软件尝试。多端同时登录限制及告警!会话cookie属性设置为HttpOnly
敏感数据保护:代码中不可有类似密码,身份证号等数据;禁止认证凭据明文形式存储;银行账号保护;禁止在任何日志中打印口令、银行账号、身份证号码、通信内容;
禁止在 cookie 中以明文形式存储敏感数据;敏感数据应该以POST形式提交。敏感数据加密传输。禁止在 URL 中携带会话标识。
网络安全设计:网络拓扑图鉴别。安全域划分,平面隔离(untrust、DMZ、trust)
边界安全控制:防火墙设备,进出策略。
远程访问安全:远程访问记录,操作人,操作日志。
合法监听:遵循国际标准
专业工具测试
业务安全类:Appscan、SenInfo、AWVS等;
协议安全类:Codenomicon、Peach、Attacker等;
主机安全类:Nmap、Nessus、Openvas、SecureCAT、杀毒云等;
Nmap工具体验
主要是通讯端口的扫描
Appscan工具体验
主要是web漏洞的扫描
Codenomicon工具体验
- 点赞
- 收藏
- 关注作者
评论(0)