Web开发时安全测试步骤及内容

Web开发时安全测试步骤及内容

这些安全性测试，据了解一般是先收集数据，然后进行相关的渗透测试工作，获取到网站或者系统的一些敏感数据，从而可能达到控制或者破坏系统的目的。

第一步是信息收集，收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用方法有：

　　1）基本网络信息获取；

　　2）Ping目标网络得到IP地址和TTL等信息；

　　3）Tcptraceroute和Traceroute 的结果；

　　4）Whois结果；

　　5）Netcraft获取目标可能存在的域名、Web及服务器信息；

　　6）Curl获取目标Web基本信息；

　　7）Nmap对网站进行端口扫描并判断操作系统类型；

　　8）Google、Yahoo、Baidu等搜索引擎获取目标信息；

　　9）FWtester 、Hping3 等工具进行防火墙规则探测；

　　10）其他。

第二步是进行渗透测试，根据前面获取到的数据，进一步获取网站敏感数据。此阶段如果成功的话，可能获得普通权限。采用方法会有有下面几种

　　1）常规漏洞扫描和采用商用软件进行检查；

　　2）结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描；

　　3）采用SolarWinds对网络设备等进行搜索发现；

　　4）采用Nikto、Webinspect等软件对Web常见漏洞进行扫描；

　　5）采用如AppDetectiv之类的商用软件对数据库进行扫描分析；

　　6）对Web和数据库应用进行分析；

　　7）采用WebProxy、SPIKEProxy、Webscarab、ParosProxy、Absinthe等工具进行分析；

　　8）用Ethereal抓包协助分析；

　　9）用Webscan、Fuzzer进行SQL注入和XSS漏洞初步分析；

　　10）手工检测SQL注入和XSS漏洞；

　　11）采用类似OScanner的工具对数据库进行分析；

　　12）基于通用设备、数据库、操作系统和应用的攻击；采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework 之类的利用程序集合。

　　13）基于应用的攻击。基于Web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。

　　14）口令猜解技术。进行口令猜解可以采用 X-Scan、Brutus、Hydra、溯雪等工具。

第三步就是尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。采用方法

　　1）口令嗅探与键盘记录。嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。

　　2）口令破解。有许多著名的口令破解软件，如 L0phtCrack、John the Ripper、Cain 等

此文《Web开发时安全测试步骤及内容》由三行网络公司原创，转载请保留原文链接，谢谢！
关键词标签：Web开发时安全测试步骤及内容    (PC+手机)响应式网站建设

• 平板电脑Ipad王者归来 加速PC退居办..
• 手机APP-新浪/腾讯微博编号获取方法
• 手机网站要用什么开发的?WML、XHTM..
• 为什么要做手机版网页? 手机网站有什么作..
• 手机浏览器哪种好用哪种快速省流量
• iPhone 5s 上市1个月的体验总结..
• 如何运用HTML5技术更好地做开发相关问..
• 如何做电子商务，效果会更好？
• 目前HTML5技术可以做微信类的产品吗？
• 看看微信网站建设的优势在哪
• 面对市场营销发展新趋势,有哪些应对策略？
• 平面设计者要掌握的设计要素
• 企业网络营销产生风险的原因
• 颜色的搭配遵循设计的基本规则
• 关于网页设计中的问题及分析