查看完整版本: Web安全性测试的一些知识

Web安全性测试的一些知识

一个完整的Web安全体系测试可以从部署与基础结构，输入验证，身份验证，授权，配置管理，敏感数据，会话管理，加密，参数操作，异常管理，审核和日志记录等几个方面入手

1.部署与基础结构

检验底层网络和主机基础结构提供给应用程序的安全设置，然后检验运行环境要求的所有限制。考虑部署的拓扑结构以及中间成应用程序服务器，外围区域以及内部防火墙对设计的影响。检验下列问题，确定可能存在的部署和基础结构问题。

1.网络是否提供了安全的通信。
2.部署拓扑结构是否包含内部防火墙。
3.部署拓扑结构中是否包含远程应用程序服务器。
4.基础结构安全性要求的限制是什么。
5.目标环境支持怎样的信任级别。

书上抄来的，我完全不懂

完全不懂也来帮忙顶，精神可加！

看你这么可怜的发广告，所以来看下啊

2 输入验证

[align=left][align=left][font=宋体][size=9pt]常见的输入验证漏洞。[/size][/font][/align][/align][align=left][align=left] [/align][/align][align=left][align=left][font=Tahoma][size=9pt][/size][/font] [/align][/align][table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]超文本标记语言（[/size][/font][font=Tahoma][size=9pt]HTML[/size][/font][font=宋体][size=9pt]）输出流中有未经验证的输入[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]应用程序易受[/size][/font][font=Tahoma][size=9pt]XSS[/size][/font][font=宋体][size=9pt]攻击[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]用于生成[/size][/font][font=Tahoma][size=9pt]SQL[/size][/font][font=宋体][size=9pt]查询的输入未经验证[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]应用程序易受[/size][/font][font=Tahoma][size=9pt]SQL[/size][/font][font=宋体][size=9pt]注入攻击[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]依赖客户端的验证[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]客户端的验证很容易被忽略[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]使用输入文件名、[/size][/font][font=Tahoma][size=9pt]URL[/size][/font][font=宋体][size=9pt]或用户名制定安全决策[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]应用程序易出现规范化错误并导致安全漏洞[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]对恶意输入仅采用应用程序筛选器[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]这基本上不可能达到目的。原因是可能的恶意攻击范围太大。[/size][/font][font=宋体][size=9pt]应用程序应对输入进行约束、拒绝和净化。[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table][align=left][align=left][font=Tahoma][size=9pt] [/size][/font][/align][/align]

这书还再么，兔兔，给我发一份

3 身份验证

[align=left][align=left][font=宋体][size=9pt]常见的身份验证漏洞。[/size][/font][/align][/align][align=left][align=left][font=Tahoma][size=9pt][/size][/font] [/align][/align][table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]弱密码[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]增加了破解密码和词典攻击的风险[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]配置文件中使用明文凭据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]可访问服务器的内部人员（或利用主机漏洞下载配置文件的攻击者）都能直接访问凭据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]通过网络传递明文凭据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可通过监控网络来盗取身份验证凭据并窃取身份[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]账户的特权过强[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]与进程和账户泄漏相关的风险增加[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]长会话[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]与会话劫持相关的风险增加[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]混用个性化数据的身份验证数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]个性化数据适于永久的[/size][/font][font=Tahoma][size=9pt]cookie[/size][/font][font=宋体][size=9pt]，而身份验证[/size][/font][font=Tahoma][size=9pt]cookie[/size][/font][font=宋体][size=9pt]不应是永久的[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table][align=left][align=left][font=Tahoma][size=9pt] [/size][/font][/align][/align]

回复 #8 futogether 的帖子

谢谢 分享!能不能把书发我一份,[email]kuangwork@126.com[/email]

[quote]原帖由 [i]futogether[/i] 于 2007-1-11 17:08 发表
书上抄来的，我完全不懂 [/quote]

我也看出来了..

不好意思，这是我照书上一个字一个字打出来的，没有电子版，呵呵～～

等我什么时候有空，我打出来，再上传好了

4 授权

[align=left][align=left][b][/b][b][font=Tahoma][size=9pt][/size][/font][/b] [/align][/align][align=left][align=left][font=Tahoma][size=9pt]  [/size][/font][font=宋体][size=9pt]常见的授权漏洞。[/size][/font][font=Tahoma][size=9pt][/size][/font][/align][/align][table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]依赖单个网关守卫[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]如果网关守卫被忽略或配置不正确，用户能不经授权进行访问[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]不能根据应用程序身份锁定系统资源[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可强制应用程序访问受限的系统资源[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]不能将数据库访问限定于特定存储过程[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可利用[/size][/font][font=Tahoma][size=9pt]SQL[/size][/font][font=宋体][size=9pt]注入攻击来检索、操作或毁坏数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]特权隔离不充分[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]没有责任或能力对每个用户进行授权[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

5 配置管理

[align=left][align=left][font=Tahoma][size=9pt][/size][/font] [/align][/align][align=left][align=left][font=宋体][size=9pt]常见的配置管理漏洞。[/size][/font][font=Tahoma][size=9pt][/size][/font][/align][/align][table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]不安全的管理界面[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]未经授权的用户可重新配置应用程序，并访问敏感数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]不安全的配置存储[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]未经授权的用户可访问配置存储并获取机密信息（如账户名、密码和数据库连接详细信息）[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]明文配置数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]可登录服务器的所有用户都能查看敏感的配置数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]管理员太多[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]这使管理员的审核和评价工作变得很困难[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]进程账户和服务账户的特权过高[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]这可导致特权提升攻击[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

[b][size=4]Web安全性测试[/size][/b]
数据加密：某些数据需要进行信息加密和过滤后才能进行数据传输，例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操作，如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多，越来越复杂，但一般数据加密的过程时可逆的，也就是说能进行加密，同时需要能进行解密！

登录：一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名和匹配的密码进行校验，以阻止非法用户登录。在进行登陆测试的时候，需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录，哪些页面或者文件 需要登录后才能访问/下载等。

超时限制：WEB应用系统需要有是否超时的限制，当用户长时间不作任何操作的时候，需要重新登录才能使用其功能。

SSL：越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写，是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术（RSA），在位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。进入一个SSL站点后，可以看到浏览器出现警告信息，然后地址栏的http变成https，在做SSL测试的时候，需要确认这些特点，以及是否有时间链接限制等一系列相关的安全保护。

服务器脚本语言：脚本语言是最常见的安全隐患，如有些脚本语言允许访问根目录，经验丰富的黑客可以通过这些缺陷来攻击和使用服务器系统，因此，脚本语言安全性在测试过程中也必须被考虑到。

日志文件：在服务器上，要验证服务器的日志是否正常工作，例如CPU的占用率是否很高，是否有例外的进程占用，所以的事务处理是否被记录等。

目录：WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当，通过简单的URL替换和推测，会将整个WEB目录完全暴露给用户，这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式，如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限，将这种隐患降低到最小程度。

笑笑也无聊的开始打字了啊

什么啊，这叫大家一起交流知识啊

支持笑笑，精神可嘉！

6 敏感数据处理中的常见漏洞

[table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]在不必要的情况下存储机密信息[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]与不存储机密信息相比，这首先大大增加了安全风险[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]在代码中存储机密数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]如果代码位于服务器，攻击者可能下载它。在二进制进程程序集中，机密信息是可见的[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]以明文形式存储机密信息[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]任何能登录服务器的人都可看见机密数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]在网络中以明文传递敏感数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]窃听者可通过监控网络来获取并篡改这些数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

7 常见的会话管理漏洞

[table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]通过未加密的通道传递会话标识符[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可捕获会话标识符来窃取身份[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]会话生生存期延长[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]这将增加会话劫持和重播攻击的风险[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]会话状态存储不安全[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可访问用户的私有会话数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]查询字符串中的会话标识符[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]可通过在客户端轻松修改会话标识符来窃取身份，然后作为另一用户访问应用程序。[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

8 常见的加密漏洞

[table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]使用自定义加密[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]安全性总是低于经过测试和考验的由系统平台提供的加密[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]使用错误的算法、或密匙过小[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]使用较新的算法可提高安全性，使用较大的密匙也可提高安全性[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]不能确保加密密匙的安全性[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]加密数据的安全性与加密密匙的安全性同等重要[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]在延长的时间段使用同一密匙[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]如果长时间使用，静态密匙很容易被发现[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

9 常见的参数操作漏洞

[table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]无法验证所有输入参数[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]应用程序易受拒绝服务攻击和代码注入攻击，包括[/size][/font][font=Tahoma][size=9pt]SQL[/size][/font][font=宋体][size=9pt]注入和[/size][/font][font=Tahoma][size=9pt]XSS[/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]未经加密的[/size][/font][font=Tahoma][size=9pt]cookie[/size][/font][font=宋体][size=9pt]中有敏感数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=Tahoma][size=9pt]Cookie[/size][/font][font=宋体][size=9pt]数据可在客户端更改，也可通过网络传递获取并更改[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]查询字符串和表单字段中存在敏感数据[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]可在客户端轻松的更改[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]信任[/size][/font][font=Tahoma][size=9pt]HTTP[/size][/font][font=宋体][size=9pt]头信息[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]可在客户端轻松的更改[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]视图状态未保护[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]可在客户端轻松的更改[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

10 常见的异常管理漏洞

[table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]无法使用结构化的异常处理[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]应用程序更易受到拒绝服务的攻击，并容易出现逻辑错误，从而暴露安全漏洞[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]向客户端公开太多信息[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可使用这些信息来规划和调整日后的攻击[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

11 常见的审核和日志记录漏洞

[table][tr][td=1,1,252][align=center][align=center][b][font=宋体][size=9pt]漏洞[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][td=1,1,288][align=center][align=center][b][font=宋体][size=9pt]影响[/size][/font][/b][b][font=Tahoma][size=9pt][/size][/font][/b][/align][/align][/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]无法审核失败的登录[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]入侵企图得不到检测[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]无法确保审核文件的安全[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]攻击者可掩饰自己的攻击[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][tr][td=1,1,252][font=宋体][size=9pt]无法跨应用程序层进行审核[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][td=1,1,288][font=宋体][size=9pt]增加了抵赖的风险[/size][/font][font=Tahoma][size=9pt][/size][/font]
[/td][/tr][/table]

sdlkfj2

小狐狸这本书的名字是什么？刚开始学习，想买点这方面的书，大家帮忙能提供点信息

是啊，这书不错啊

sdlkfj5 这本书叫啥名字呢?

这本书是我以前考软件评测师的教程，书名应该是 软件评测师 吧，这本是2005的教程了，现在可能有更新吧。


不好意思， 最近一直没上来，现在才答复

呵呵,谢谢啊! 正在学习如何进行安全性测试呢?

微软的MSDN上都有的，那个是针对web应用的Threat and Countermeasure

好，都是安全性测试的重点

xuexi

已经学习，多谢大家！

辛苦了，谢谢分享

谢谢1

希望能成为一名黑客(安全测试专家)

哈哈~~~等下我就去书店找找看！

这是什么书啊  顶一下

我已经很努力的学习了,不过还是不怎么明白sdlkfj7

测试人员还要回黑客技术
我昏倒