WEB安全性測試分析(2)

　　安全測試用來驗證集成在系統內的保護機制是否能夠在實際中保護系統不受到非法的侵入。俗話說： “ 系統的安全當然必須能夠經受住正面的攻擊 —但是它也必須能夠經受住側面的和背后的攻擊。 ”

　　在安全測試過程中，測試者扮演著一個試圖攻擊系統的個人角色。測試者可以嘗試去通過外部的手段來獲取系統的密碼，可以使用可以瓦解任何防守的客戶軟件來攻擊系統;可以把系統“制服”，使得別人無法訪問;可以有目的地引發系統錯誤，期望在系統恢復過程中侵入系統;可以通過瀏覽非保密的數據，從中找到進入系統的鑰匙等等。

　　只要有足夠的時間和資源，好的安全測試就一定能夠最終侵入一個系統。系統設計者的任務就是要把系統設計為想要攻破系統而付出的代價大于攻破系統之后得到的信息的價值。 

原文轉自：http://www.anti-gravitydesign.com