请教大家，做安全测试按关注哪些内容？

nadl彬

最近公司要对一个门户做安全测试。但是作为小白的我，只知道使用appscan按照工具给出的流程去跑，不知道这样做是否真的完整，有没有遗漏，请问大家这个有没有什么好的建议，然后学习安全测试要从哪些点去入手呢？

jingzizx

坐等大神，学习下

seagull1985

appscan扫出来的漏洞，你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫出很多问题，但是不一定都是真正需要修改优化的，你要自己分析看下。。。appscan扫出来最常见的就是Cross-site scritping跟sql  Injection了。。
另外，业务安全也很重要，楼主可以多关注。

懂得不多，给楼主参考下

18855322640

我用过一段时间的appscan，但是主要是对web service进行测试，让它自己跑，可能会出现部分安全警告，这些是肯定需要提交报告的，然后在弹出的报告里面会有一些针对性网页提出建议，自己根据公司需要去提取，其他的就没了，，

旧欢似梦

1.关注应用本身的安全，比如SQL注入、XSS、CSRF、上传webshell等，这些是可以用漏扫工具扫出来的，建议用最新的版本，多用几个工具对比下结果，Appscan,Awvs,netsparker，以便分析是否存在误报与漏报，结果出来了后，要手动结合工具验证是否存在以及漏洞能造成什么后果，提交给开发，最后附上修改建议和方案，因为开发很多事不懂的。
2.关注框架、组件等安全，这个要实时关注安全动态，比如struts2、spring等框架 ，iis  nignx ，第三方引用等，了解所测是系统用了哪些框架  应用服务器  第三方引用 如果出问题  立刻自检

3.业务安全  包括越权  低价购买商品  修改任意用户密码  撞库  恶意注册刷单  弱口令等

旧欢似梦

什么情况 还要审核

nadl彬

seagull1985 发表于 2016-8-3 10:52
appscan扫出来的漏洞，你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫 ...

关键还是要了解更多这安全这方面的信息，和这个工具使用吗？

飘落的记忆

不懂，学习中

greeao3ve

灌，是一种美德