安全工具和业务安全
常用方法:1.sql注入;2.xss脚本攻击;3.数据加密;4.权限控制
安全测试流程
白盒代码分析:自动化
sonar,findbugs
黑盒扫描机制:自动化
zap,wvs,burpsuite,appscan,sqlmap
业务流程安全探索:人工检测
burpsuite,zap
安全测试关注的维度
传输:
敏感信息传递加密
链路加密
接口:
访问控制
参数:
注入:sql注入,命令注入,文件注入
越权:越过更高权限,越过同级权限
常用方法:1.sql注入;2.xss脚本攻击;3.数据加密;4.权限控制
白盒代码分析:自动化
sonar,findbugs
黑盒扫描机制:自动化
zap,wvs,burpsuite,appscan,sqlmap
业务流程安全探索:人工检测
burpsuite,zap
传输:
敏感信息传递加密
链路加密
接口:
访问控制
参数:
注入:sql注入,命令注入,文件注入
越权:越过更高权限,越过同级权限