渗透测试

渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术, 对目标系统的安全做深入的探测,发现系统最脆弱的环节的测试。 渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、 非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题。

服务模块 服务内容 安全目标

  1. 运行账号权限测试
  2. Web服务器端口扫描
  3. HTTP方法测试
  4. HTTP Put方法测试
  5. HTTP Delete方法测试
  6. HTTP Trace方法测试
  7. HTTP Move方法测试
  8. HTTP Copy方法测试
  9. Web服务器版本信息采集……
服务器信息收集
  1. 工具方式的敏感接口遍历
  2. Robots方式的敏感接口查找
  3. Web服务器的控制台
  4. 目录列表测试
  5. 文件归档测试……
文件、目录测试
  1. 连接数据库的账号密码加密测试
  2. 客户端源代码敏感信息测试
  3. 客户端源代码注释测试
  4. 异常处理
  5. HappyAxis.jsp页面测试
  6. Web服务器状态信息测试
  7. 不安全的存储……
信息泄露测试

  1. 身份信息维护方式测试
  2. Cookie存储方式测试
  3. 用户注销登录的方式测试
  4. 注销时会话信息是否清除测试
  5. 会话超时时间测试
  6. 会话定置测试……
会话管理系统
  1. 验证码测试
  2. 认证错误提示
  3. 锁定策略测试
  4. 认证绕过测试
  5. 找回密码测试
  6. 修改密码测试
  7. 不安全的数据传输
  8. 强口令策略测试……
认证测试
  1. SQL注入测试
  2. MML语法注入
  3. 命令执行测试……
输入数据测试
  1. Get方式跨站脚本测试
  2. Post方式跨站脚本测试……
跨站脚本攻击测试
  1. 横向测试
  2. 纵向测试…………
权限管理测试
  1. 文件上传、下载测试
  2. Web Service测试……
文件上传、下载测试