網(wǎng)絡(luò)安全服務(wù)器 如何檢測(cè)網(wǎng)站服務(wù)器的漏洞?
如何檢測(cè)網(wǎng)站服務(wù)器的漏洞?Web和應(yīng)用程序可以根據(jù)以下方案實(shí)現(xiàn),這實(shí)際上是一個(gè)全面的安全審計(jì)。我只是列出內(nèi)容。詳細(xì)的測(cè)試工具和方法可以自己搜索。測(cè)試對(duì)象:服務(wù)器、servlet容器、數(shù)據(jù)庫、第三方服務(wù)
如何檢測(cè)網(wǎng)站服務(wù)器的漏洞?
Web和應(yīng)用程序可以根據(jù)以下方案實(shí)現(xiàn),這實(shí)際上是一個(gè)全面的安全審計(jì)。我只是列出內(nèi)容。詳細(xì)的測(cè)試工具和方法可以自己搜索。測(cè)試對(duì)象:服務(wù)器、servlet容器、數(shù)據(jù)庫、第三方服務(wù)和接口、web應(yīng)用程序。應(yīng)用部署環(huán)境(服務(wù)器):操作系統(tǒng)用戶名和密碼強(qiáng)度、操作系統(tǒng)用戶、用戶組和權(quán)限設(shè)置、系統(tǒng)漏洞和修補(bǔ)程序、系統(tǒng)端口安全應(yīng)用部署環(huán)境目錄和文件安全防火墻、網(wǎng)絡(luò)端口設(shè)置數(shù)據(jù)庫(主要測(cè)試授權(quán),數(shù)據(jù)庫和數(shù)據(jù)庫環(huán)境安全的帳號(hào)、密碼等安全設(shè)置,等):數(shù)據(jù)庫服務(wù)器版本和漏洞用戶名和密碼設(shè)置數(shù)據(jù)庫用戶權(quán)限設(shè)置和授權(quán)設(shè)置數(shù)據(jù)庫服務(wù)器端口和網(wǎng)絡(luò)連接設(shè)置(關(guān)閉公網(wǎng)訪問和不必要的端口)web應(yīng)用安全測(cè)試和工具:SQL注入表單漏洞cookie欺騙會(huì)話測(cè)試日志文件測(cè)試第三方接口服務(wù)安全測(cè)試跨站點(diǎn)腳本攻擊(zap)身份驗(yàn)證和會(huì)話攻擊(hackbar)不安全對(duì)象直接引用攻擊(burp)CSRF(篡改)數(shù)據(jù))安全配置錯(cuò)誤(watobo)加密存儲(chǔ)不限制訪問者URL(Nikto/wikto)傳輸級(jí)安全風(fēng)險(xiǎn)(甘汞)未驗(yàn)證重定向和轉(zhuǎn)發(fā)(watcher)文件操作命令注入測(cè)試第三方服務(wù)接口和接口測(cè)試(如短信、電子郵件、支付、,APP)Push和其他服務(wù)):系統(tǒng)/服務(wù)版本和漏洞安全配置測(cè)試數(shù)據(jù)傳輸安全測(cè)試數(shù)據(jù)合法性測(cè)試數(shù)據(jù)完整性測(cè)試APP接口安全:請(qǐng)參考APP接口安全測(cè)試要點(diǎn):APP接口安全設(shè)計(jì)要點(diǎn)-程序員操作手冊(cè)-智虎專欄如果你想為服務(wù)器做端口防御,你不需要?dú)⒍拒浖?。一般來說,服務(wù)器病毒通過端口傳播,服務(wù)器殺毒軟件是無用的。安裝的安全軟件只能幫助您保護(hù)端口。如果你推薦安全軟件:守護(hù)云鎖、安全狗等都不錯(cuò)