标签：评测 是否 防火墙 笔记 漏洞 篡改 软件 日志 权限

常见安全***手段

1、冒充：一个实体假装成一个不同的实体，常和消息篡改和重演一起使用

2、重演：当消息为了产生非授权效果而被重复时，就出现重演了

3、消息篡改：数据所传送的内容被改变而未被发觉，并导致非授权后果

4、服务拒绝：通过向认证/授权服务发送大量虚假请求，占用系统带宽造成关键服务繁忙，使得授权服务不能正常执行，产生服务拒绝

 

安全性测试方法（安全防护策略）

1、功能验证

2、侦听技术

3、模拟***试验

4、漏洞扫描：对软件系统和网络系统进行安全监测，以找出有安全隐患的漏洞

5、安全日志：记录非法用户的相关操作和信息

6、***检测：从系统内部和各种网络资源中主动采集信息，从中分析可能得网络***或***

7、隔离防护：将系统中的安全部分和非安全部分进行隔离，防火墙主要用于内网和外网的逻辑隔离

 

WEB应用的安全性测试

可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核、日志记录多个方面进行

 

关于SSL的的WEB应用安全性测试用例

1、SQL测试用例，账号输入name'--

2、https://替换成http://

3、内容访问，访问有文件的链接

4、内部URL拷贝：将登录后的URL拷贝出来，重启浏览器粘贴URL

 

防火墙测试点

1、是否支持交换和路由两种工作模式

2、是否支持对HTTP、FTP、SMTP等服务类型的访问控制

3、是否考虑到防火墙的冗余设计

4、是否支持对日志的统计分析功能，同时，日志是否可以存储在本地和网络数据库上

5、防火墙受***后，是否有告警方式

 

***检测系统

1、能否在检测到***事件时，自动执行切断服务，记录***行为

2、是否支持收集***信息

3、是否提供监视方式

 

对用户权限控制的测试

1、对用户权限控制体系合理性

• 是否采用分离管理模式
• 是否具有唯一性、口令的强度、存储位置、加密强度

2、对用户权限分配合理性

• 权限分配的细致程度
• 特定权限用户访问系统功能的能力测试

 

网页篡改途径

1、通过操作系统、网路服务、数据库漏洞

2、通过猜测/破解管理员密码

3、通过WEB漏洞或设计缺陷

 

防篡改系统的基本功能

1、自动监测

2、自动备份与恢复

3、自动报警

 

如何防篡改

1、修复漏洞

2、封闭未使用端口

3、设计安全性高的代码

4、设置强密码

5、安装防火墙

6、设置访问权限

标签：评测,是否,防火墙,笔记,漏洞,篡改,软件,日志,权限
来源： https://blog.51cto.com/u_12020737/2838295

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。