1、安全测试适用范围
2、安全测试过程图
3、安全测试途径
3.1、自动化漏洞扫描工具appscan等
3.2、服务器帐号权限测试、端口扫描
3.3、http协议基本方法测试:put、delete、trace、move、copy
3.4、web服务器版本信息(已知漏洞利用)
3.5、dirbuster工具方式敏感接口遍历(枚举方式)
3.6、Robots方式敏感接口查找
3.7、web控制台弱口令测试
3.8、dirbuster目录列表测试
3.9、服务器文件归档测试(临时文件访问)
3.10认证测试
3.11会话管理
3.12权限管理
3.13文件上传下载
3.14信息泄露
3.15输入数据
3.16跨站脚本攻击
3.17逻辑测试
3.18搜索引擎信息收集(googlehack)
3.19webservice测试
3.20class文件反编译