请指教软件安全性测试（security test）

apieceofcake

　　如今的软件无论本身与网络相关与否，只要电脑是连上网的，你就得好好考虑软件的安全性，是否存在什么漏洞之类的。对于一个网络软件来说更是如此。最近我们公司意识到这个问题的重要性，希望我们提高安全漏洞方面的测试。不知道各位高人在这方面有何经验和高见。敬请指教！

worange74

《Web安全测试》
《软件安全测试艺术》

apieceofcake

谢谢版主！您说的方法我都会去试一下。
但是想找一些更系统的安全性测试方面的guideline或者参考文献，不知道有没有？

kpxl

现在的安全性测试其实都比较空。因为安全这个东西说大很大，也非常复杂。需要很深的计算机软硬件知识和专业技能。
个人认为，因为大家目前测试的系统能够大都是架构在Windows系统之上的，所以操作系统的安全性就很重要，也就是要打补丁，在这个上面，如果有涉及到数据库的，那就可以试试对数据库进行非法的访问，这个我没有仔细的研究过，但是有一种办法叫做SQL的注入式攻击，指在输入框输入SQL语句，看是否可以直接的访问数据库，如果可以就是有隐患。还有就是对于B/S结构的系统，看看是否每个页面都做了权限的验证，一个简单的办法就是用一个没有某功能权限的用户登录，然后在地址栏输入那个没有权限访问的页面，看是否可以访问到。
如果传输的数据比较敏感，可以建议客户采用第三方的网络安全设备。