之前曾簡單的介紹了安全測試相關的一些內容，在代碼端，我們一般需要做的不多，現在國內比較流行的是Fortify SCA來進行代碼安全審核。

　　代碼端我們可能遇到的問題主要在于堆棧溢出威脅，IO處理權限，Cache處理權限等問題上面?？梢栽诰幊痰耐瑫r結合一些插件盡可能的避免此類的問題。

　　另外做安全測試最重要的是先做滲透攻擊，只有在攻擊中才能找到漏洞，加以處理。

　　最后為安全測試總結下所知道的一些可能被利用的入侵點：

　　1、SQL注入漏洞

　　老生常談了，可以利用漏洞掃描器確定問題的所在，然后使用SPI Dynamics公司的SQL注入器等先進行滲透測試。

　　2、XSS跨站漏洞

　　XSS一直是重中之中，我們能做的是不停的掃描，注重問題的解決，在各個開放層面進行掃描。

　　3、服務器溢出漏洞

　　此漏洞目前好象比較少，只要管理員勤打補丁基本沒事，不過在很多性能測試不過關的網站上問題比較嚴重。

　　4、上傳漏洞

　　利用上傳漏洞能直接得到WEBSHELL，危害等級終極高，之前比較流行。目前都比較少見了。。我們需要的是對服務器服務的嚴格把控。

　　5、DDoS

　　一般正確的管理員配置可以解決。

　　6、同服務器漏洞

　　很多的代理服務器的問題，你的網站做得安全，可是在你的服務器上的另外某些站點做得漏洞百出。因為都是同一個服務器的吧。。 所以別人就會利用別的服務器。提權。 然后得到你的服務器權限。

　　7、社會工程學

　　最難防御的問題，在于安全意識本身的加強。

　　先總結到這里，給自己留下點Memory，之后在此基礎上加強。

====================================分割線================================

最新內容請見作者的GitHub頁：http://qaseven.github.io/

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的安全测试需要关注那些要点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。