怎么查看網(wǎng)站的安全性？

制定測試計劃，確定測試范圍和測試策略；一個完整的WEB安全性測試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗證、身份驗證、授權(quán)、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等幾個方面入手。舉幾個例子

一、 安全體系測試

1、部署與基礎(chǔ)結(jié)構(gòu) 網(wǎng)絡(luò)是否提供了安全的通信 部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻 部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器 基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么 目標(biāo)環(huán)境支持怎樣的信任級別

2、 輸入驗證，如何驗證輸入？

1） 是否清楚入口點

2） 是否清楚信任邊界

3） 是否驗證Web頁輸入

4） 是否對傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗證

5） 是否驗證從數(shù)據(jù)庫中檢索的數(shù)據(jù)

6） 是否將方法集中起來

7） 是否依賴客戶端的驗證

8） 應(yīng)用程序是否易受SQL注入攻擊

9） 應(yīng)用程序是否易受XSS攻擊

3、如何處理輸入？身份驗證

1）是否區(qū)分公共訪問和受限訪問

2）是否明確服務(wù)帳戶要求

3）如何驗證調(diào)用者身份

4）如何驗證數(shù)據(jù)庫的身份

5）是否強(qiáng)制試用帳戶管理措施

4、授權(quán)

1）如何向最終用戶授權(quán)

2）如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序

3）如何將訪問限定于系統(tǒng)級資源

5、配置管理

1）是否支持遠(yuǎn)程管理

2）是否保證配置存儲的安全

3）是否隔離管理員特權(quán)

6、 敏感數(shù)據(jù)

1）是否存儲機(jī)密信息

2）如何存儲敏感數(shù)據(jù)

3）是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)

4）是否記錄敏感數(shù)據(jù)