網站安全性測試

　　一.安全體制測試

　　1.部署與基礎結構

　　網絡是否提供了安全的通信。

　　部署拓撲結構是否包括內部防火墻。

　　部署拓撲結構中是否包括遠程應用程序服務器。

　　基礎結構安全性要求的限制是什么。

　　目標環境支持怎樣的信任級別。

　　2.輸入驗證

　　是否清楚入口點

　　是否清楚信任邊界

　　是否驗證web頁輸入

　　是否對傳遞到組件或web服務的參數進行驗證

　　是否驗證從數據庫中檢索的數據

　　是否依賴客戶端的驗證

　　應用程序是否易受規范化問題的影響

　　應用程序是否易受SQL注入攻擊

　　應用程序是否易受XSS攻擊

　　3.身份驗證

　　是否區分公共訪問和受限訪問

　　是否明確服務帳戶要求

　　是否在網絡中傳遞明文憑據

　　是否實現自己的用戶存儲

　　是否使用表單身份驗證

　　是否使用SQL身份驗證

　　是否使用進程帳戶

　　是否使用服務帳戶

　　是否考慮使用匿名Internet用戶身份

　　是否使用原始用戶身份

　　如何保存數據庫連接字符串

　　是否強制使用強帳戶管理措施

原文轉自：http://www.anti-gravitydesign.com