OWASP ZAPWVSAppScanBurpSuiteSqlmap 安全测试关注维度 传输: 敏感信息传递加密链路加密 接口: 访问控制 参数: 注入:SQL注入、命令注入、文件注入越权:越过更高权限、越过同级权限 建立安全测试流程 白盒代码分析:自动化 sonar、findbugs 等 黑河扫描机制:自动化 zap、wvs、burpsuite、appscan、SQLmap 业务流程安全探索:人工测试 buipsuite、ZAP