应用层测试
应用层,应用层是开放系统的最高层,是直接为应用进程提供服务的。这里泛指业务应用系统,包括业务软件,门户网站等。应用层漏洞的存在,影响着应用软件的安全,从而影响系统的运行,因此必须加强应用层安全建设。
应用层安全测试根据检测内容分为手工检测模块、漏洞扫描模块以及风险验证模块。
手工检测模块包括:
身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错等。
漏洞扫描模块包括:
SQL 注入漏洞检测、CSS 脚本漏洞检测、表单绕过、ANI 木马、ActiveX 弱点、CGI 弱点、源码泄漏、登录口令破解、可疑木马。
风险验证模块包括:
对发现的安全风险,进行验证,以确定威胁的存在,同时给予安全加固建议,实现风险规避。
针对以上测试模块的特点,通常采用调查问卷、人工分析、安全策略文档分析、安全审计、历史事件分析、白客渗透测试等手段,利用的测试工具包括绿盟远程安全评估系统、绿盟漏洞验证系统、Web 弱点扫描器以及安全测试工具集。
附件为测试得分表,满分100分。
附件: