【正文】 技術(shù)。這個(gè)方案的優(yōu)點(diǎn)在于，無(wú)需進(jìn)行編譯、也無(wú)需去搭建運(yùn)行環(huán)境，就可以對(duì)程序員所寫的源代碼進(jìn)行審計(jì)。 代碼審計(jì)原理靜態(tài)源代碼審計(jì)是近年被人提及較多的軟件應(yīng)用安全解決方案之一。應(yīng)用系統(tǒng)的安全性能，一方面立足于系統(tǒng)安全方案的分析與設(shè)計(jì)，而另一方面同樣也取決于系統(tǒng)實(shí)現(xiàn)過(guò)程中是否存在安全性缺陷。滲透測(cè)試報(bào)告應(yīng)包含如下內(nèi)容：滲透結(jié)論包括目標(biāo)系統(tǒng)的安全狀況、存在的問(wèn)題、滲透測(cè)試的結(jié)果等滲透測(cè)試項(xiàng)目的介紹包括項(xiàng)目情況、時(shí)間、參與人員、操作地點(diǎn)等滲透測(cè)試過(guò)程包括滲透測(cè)試的各個(gè)實(shí)施階段中的方法、工具、技術(shù)及其操作細(xì)節(jié)等滲透測(cè)試的證據(jù)滲透測(cè)試的一些過(guò)程及證明文件解決方案針對(duì)滲透測(cè)試中發(fā)現(xiàn)的問(wèn)題給出對(duì)應(yīng)的解決辦法和建議附錄部分滲透測(cè)試中的一些其它相關(guān)內(nèi)容，如異常事件的記錄和處理等 代碼審計(jì)服務(wù)解決方案依據(jù)集團(tuán)公司、的具體安全規(guī)范和，在業(yè)務(wù)支撐系統(tǒng)規(guī)劃、開(kāi)發(fā)、建設(shè)、運(yùn)行和退出服務(wù)五個(gè)環(huán)節(jié)全生命周期中加強(qiáng)安全加固和安全管控，以安全控制流程為切入口，逐步建立持續(xù)改進(jìn)的工作機(jī)制。目前國(guó)內(nèi)3)備發(fā)起滲透前。2)要大容量存儲(chǔ)設(shè)備。全程監(jiān)控：優(yōu)點(diǎn)是全過(guò)程都能完整記錄。用戶監(jiān)控 測(cè)試方自控在評(píng)估過(guò)程中，由于滲透測(cè)試的特殊性，用戶可以對(duì)整體測(cè)試流程進(jìn)行 項(xiàng)目中合理溝通在項(xiàng)目實(shí)施過(guò)程中，確定不同階段的測(cè)試人員以及客戶方的配合人員，建立戶方同意之后才可繼續(xù)進(jìn)行。停止測(cè)試工作，與客戶方配合人員一起分析情況，在確定原因后，及時(shí)恢復(fù)系統(tǒng)， 系統(tǒng)恢復(fù)之前作一次完整的系統(tǒng)備份或者關(guān)閉正在進(jìn)行的操作，以便在系統(tǒng)發(fā)生災(zāi)難后及時(shí)恢復(fù)。 系統(tǒng)備份2)軟件等。1) 保守策略選擇 攻擊策略集選擇 風(fēng)險(xiǎn)規(guī)避措施滲透測(cè)試過(guò)程中可能對(duì)業(yè)務(wù)產(chǎn)生影響，可以采取以下措施來(lái)減小風(fēng)險(xiǎn)： 時(shí)間選擇接下來(lái)，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級(jí)的機(jī)會(huì)。 其他測(cè)試在滲透測(cè)試中還要借助暴力破解、網(wǎng)絡(luò)嗅探等其他方法，目的也是為獲取用戶名及密碼。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。 DDoS攻擊分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。 Cookie利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies 機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID、口令、時(shí)戳等。 檢查文件接口模塊，防止用戶獲取系統(tǒng)文件； 216。 檢查身份認(rèn)證模塊，用以防止非法用戶繞過(guò)身份認(rèn)證；216。在Web腳本及應(yīng)用測(cè)試中，可能要檢查的部份包括： 216。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問(wèn)權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。 WEB應(yīng)用測(cè)試 Web腳本及應(yīng)用測(cè)試專門針對(duì)Web及數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行。惡意用戶通過(guò)操作隱藏字段內(nèi)容達(dá)到惡意交易和竊取信息等行為，是一種非常危險(xiǎn)的漏洞。 檢測(cè)頁(yè)面隱藏字段網(wǎng)站應(yīng)用系統(tǒng)常采用隱藏字段存儲(chǔ)信息。一般情況下，如果未授權(quán)，將不會(huì)進(jìn)行此項(xiàng)測(cè)試！ SQL注入攻擊SQL注入常見(jiàn)于應(yīng)用了SQL 數(shù)據(jù)庫(kù)后端的網(wǎng)站服務(wù)器，入侵者通過(guò)提交某些特殊SQL語(yǔ)句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫(kù)中的內(nèi)容。 信息的收集和分析伴隨著每一個(gè)滲透測(cè)試步驟，每一個(gè)步驟又有三個(gè)組成部分：操作、響應(yīng)和結(jié)果分析。 不同網(wǎng)段間的滲透 這種滲透方式是從某內(nèi)/外部網(wǎng)段，嘗試對(duì)另一網(wǎng)段/Vlan進(jìn)行滲透。 審查識(shí)別允許惡意用戶啟動(dòng)攻擊的不良代碼技術(shù)；216。 審查代碼中的 SQL 注入漏洞；216。這項(xiàng)工作雖然可能很耗時(shí)，但是進(jìn)行，代碼審查測(cè)試工作包括如下工作但不僅限于此： 216。緩沖區(qū)溢出攻擊尤其是各個(gè)系統(tǒng)或者是安全服務(wù)的一些默認(rèn)賬號(hào)口令和弱口令賬號(hào)?？诹钍切畔踩镉篮愕闹黝}，在以往的滲透測(cè)試項(xiàng)目中，通過(guò)賬號(hào)口令問(wèn)題獲取權(quán)限者不在少數(shù)。p攻擊階段是滲透測(cè)試的實(shí)際實(shí)施階段，在這一階段根據(jù)前面得到的信息對(duì)目標(biāo)進(jìn)行攻擊嘗試，嘗試獲取目標(biāo)的一定權(quán)限。 后門程序檢查系統(tǒng)開(kāi)發(fā)過(guò)程中遺留的后門和安全服務(wù)選項(xiàng)可能被入侵者所利用，導(dǎo)致入侵者輕易地從捷徑實(shí)施攻擊。端口掃描 通過(guò)對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開(kāi)放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過(guò)對(duì)網(wǎng)絡(luò)信息收集分析，可以相應(yīng)地、有針對(duì)性地制定模擬黑客入侵攻擊的計(jì)劃，以提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率。預(yù)攻擊階段主要是為了收集獲取信息，從中發(fā)現(xiàn)突破口，進(jìn)行進(jìn)一步攻擊決策。攻擊階段（獲取目標(biāo)權(quán)限）178。滲透測(cè)試實(shí)際就是一個(gè)模擬黑客攻擊的過(guò)程，因此其的實(shí)施過(guò)程也類似于一次完整的黑客攻擊過(guò)程，我們將其劃分為了如下幾個(gè)階段： 滲透測(cè)試方法及步驟憑借著在眾多項(xiàng)目中的實(shí)施經(jīng)驗(yàn)，形成了一套具有自身特色且行之有效的滲透測(cè)試方法。 滲透測(cè)試流程和授權(quán) 滲透測(cè)試流程 滲透測(cè)試授權(quán)測(cè)試授權(quán)是進(jìn)行滲透測(cè)試的必要條件。（5） 從整體上把握組織或企業(yè)的信息安全現(xiàn)狀正因?yàn)槿绱?，如果換作是一個(gè)對(duì)企業(yè)組織的相關(guān)情況更為了解的內(nèi)部人員來(lái)說(shuō)，結(jié)合滲透測(cè)試中所暴露出來(lái)的某些問(wèn)題，他能更有效和更全面的發(fā)現(xiàn)組織和企業(yè)中一些安全風(fēng)險(xiǎn)及問(wèn)題。目前的滲透測(cè)試，更多的仍然是從一個(gè)外部人員的角度，模擬黑客攻擊的一個(gè)過(guò)程。滲透測(cè)試和工具掃描可以很好的互相補(bǔ)充。滲透測(cè)試的結(jié)果可以作為向投資方或管理人員提供的網(wǎng)絡(luò)安全狀況方面的具體證據(jù)，一份文檔齊全有效的滲透測(cè)試報(bào)告有助于IT（1） 協(xié)助用戶發(fā)現(xiàn)組織中的安全最短木板 滲透測(cè)試的安全意義由于采用可控制的、非破壞性質(zhì)的滲透測(cè)試，因此不會(huì)對(duì)被評(píng)估的客戶信息系統(tǒng)造成嚴(yán)重的影響。 滲透測(cè)試特點(diǎn)入侵者的攻擊入侵要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。人工滲透測(cè)試和工具掃描可以很好的互相補(bǔ)充。模擬入侵者的攻擊方法對(duì)應(yīng)用系統(tǒng)、服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。 滲透測(cè)試原理滲透測(cè)試主要依據(jù)CVE（Common Vulnerabilities amp。滲透測(cè)試：主要通過(guò)對(duì)目標(biāo)系統(tǒng)信息的全面收集、對(duì)系統(tǒng)中網(wǎng)路設(shè)備的探測(cè)、對(duì)服務(wù)器系統(tǒng)主機(jī)的漏洞掃描、對(duì)應(yīng)用平臺(tái)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性掃描及通過(guò)應(yīng)用系統(tǒng)程序的安全性滲透測(cè)試等手段來(lái)完成對(duì)整個(gè)系統(tǒng)的安全性滲透檢測(cè)。具體服務(wù)內(nèi)容詳見(jiàn)以下正文。對(duì)服務(wù)系統(tǒng)提供周期性的安全評(píng)估服務(wù)。2. 項(xiàng)目解決方案該部分重點(diǎn)針對(duì)各類系統(tǒng)，主動(dòng)發(fā)現(xiàn)安全隱患及不符合相關(guān)規(guī)范的問(wèn)題，及時(shí)整改，防患未然。年安全技術(shù)服務(wù)技術(shù)建議書二○一五年十二月 目 錄1. 項(xiàng)目概況簡(jiǎn)述 1 項(xiàng)目原則 12. 項(xiàng)目解決方案 1 滲透測(cè)試解決方案 2 代碼審計(jì)服務(wù)解決方案 13 基礎(chǔ)設(shè)備安全評(píng)估解決方案 20 應(yīng)急響應(yīng)和演練解決方案 50 APP安全評(píng)估解決方案 53 安全加固整改建議解決方案 60 新業(yè)務(wù)上線安全檢查解決方案 67 安全培訓(xùn)解決方案 673. 項(xiàng)目實(shí)施方案 70 項(xiàng)目組成員 70 項(xiàng)目分工界面 73 工作量的計(jì)算方法及依據(jù) 78 項(xiàng)目進(jìn)度 78 項(xiàng)目質(zhì)量保證措施 804. 項(xiàng)目售后服務(wù) 865. 安全工具簡(jiǎn)述 86 滲透測(cè)試工具 86 代碼審計(jì)工具 94106 / 1081. 項(xiàng)目概況簡(jiǎn)述1 項(xiàng)目原則安全服務(wù)的方案設(shè)計(jì)與具體實(shí)施滿足以下原則：（1） 保密原則：對(duì)服務(wù)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害求方網(wǎng)絡(luò)的行為，否則求方有權(quán)追究的責(zé)任。（2） 標(biāo)準(zhǔn)性原則：服務(wù)方案的設(shè)計(jì)與實(shí)施依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；（3） 規(guī)范性原則：服務(wù)提供商的工作中的過(guò)程和文檔，具有嚴(yán)格的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；（4） 可控性原則：服務(wù)用的工具、方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi)，服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證求方對(duì)于服務(wù)工作的可控性；（5） 整體性原則：服務(wù)的范圍和內(nèi)容當(dāng)整體全面，包括安全涉及的各個(gè)層面，避免由于遺漏造成未來(lái)的安全隱患；（6） 最小影響原則：服務(wù)工作盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無(wú)法避免出現(xiàn)這些情況在答書上詳細(xì)描述）；針對(duì)上述各項(xiàng)，在技術(shù)方案中落實(shí)諸原則各方面，并予以詳細(xì)解釋。主要包括安全管理咨詢服務(wù)和安全技術(shù)評(píng)估服務(wù)。該服務(wù)嚴(yán)格參照和各類系統(tǒng)安全配置規(guī)范執(zhí)行，防護(hù)能力測(cè)評(píng)按照工信部《網(wǎng)絡(luò)單元安全防護(hù)檢測(cè)評(píng)分方法（試行）》執(zhí)行。2 滲透測(cè)試解決方案 滲透測(cè)試簡(jiǎn)介 滲透測(cè)試概念滲透測(cè)試（Penetration Test）, 是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。該滲透測(cè)試是一個(gè)完整、系統(tǒng)的測(cè)試過(guò)程，涵蓋了網(wǎng)絡(luò)層面、主機(jī)層面、數(shù)據(jù)層面以及安全服務(wù)層面的安全性測(cè)試。 Exposures公共漏洞和暴露）已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。 滲透測(cè)試目標(biāo)滲透測(cè)試?yán)酶鞣N安全掃描器對(duì)網(wǎng)站及相關(guān)服務(wù)器等設(shè)備進(jìn)行非破壞性質(zhì)的模擬入侵者攻擊，目的是侵入系統(tǒng)并獲取系統(tǒng)信息并將入侵的過(guò)程和細(xì)節(jié)總結(jié)編寫成測(cè)試報(bào)告，由此確定存在的安全威脅，并能及時(shí)提醒安全管理員完善安全策略，降低安全風(fēng)險(xiǎn)。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問(wèn)題；滲透測(cè)試對(duì)測(cè)試者的專業(yè)技能很高（滲透測(cè)試報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。測(cè)試人員模擬真正的入侵者入侵攻擊方法，以人工滲透為主，輔助以攻擊工具的使用，以保證整個(gè)滲透測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi)，同時(shí)確保對(duì)網(wǎng)絡(luò)沒(méi)有造成破壞性的損害。在滲透測(cè)試結(jié)束后，客戶信息系統(tǒng)將基本保持一致。從滲透測(cè)試中，客戶能夠得到的收益有：一次滲透測(cè)試過(guò)程也就是一次黑客入侵實(shí)例，其中所利用到的攻擊滲透方法，也是其它具備相關(guān)技能的攻擊者所最可能利用到的方法；由滲透測(cè)試結(jié)果所暴露出來(lái)的問(wèn)題，往往也是一個(gè)企業(yè)或組織中的安全最短木板，結(jié)合這些暴露出來(lái)的弱點(diǎn)和問(wèn)題，可以協(xié)助企業(yè)有效的了解目前降低風(fēng)險(xiǎn)的最迫切任務(wù)，使在網(wǎng)絡(luò)安全方面的有限投入可以得到最大的回報(bào)。（2） 作為網(wǎng)絡(luò)安全狀況方面的具體證據(jù)和真實(shí)案例組織管理者以案例的形式向相關(guān)人員直觀展示目前企業(yè)或組織的安全現(xiàn)狀，從而增強(qiáng)員工對(duì)信息安全的認(rèn)知程度，提高相關(guān)人員的安全意識(shí)及素養(yǎng)，甚至提高組織在安全方面的預(yù)算。（3） 發(fā)現(xiàn)系統(tǒng)或組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問(wèn)題；滲透測(cè)試的價(jià)值直接依賴于實(shí)施者的專業(yè)技能和素養(yǎng)但是非常準(zhǔn)確，可以發(fā)現(xiàn)系統(tǒng)和組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)。（4） 發(fā)現(xiàn)滲透測(cè)試和信息安全風(fēng)險(xiǎn)評(píng)估未暴露的其它安全問(wèn)題往往來(lái)說(shuō)，滲透測(cè)試的實(shí)施人員并不能完全掌握組織或企業(yè)的全部安全現(xiàn)狀及信息，的滲透測(cè)試行為及方法都是局限于自己所掌握的已有信息，因此暴露出來(lái)的問(wèn)題也是有限的（比如說(shuō)，有些問(wèn)題單純從技術(shù)上來(lái)說(shuō)利用價(jià)值不大，但若是結(jié)合一些管理上的缺陷或者是本身具有的某些其它便利，往往可以導(dǎo)致嚴(yán)重風(fēng)險(xiǎn)）。信息安全是一個(gè)整體項(xiàng)目，一個(gè)完整和成功的滲透測(cè)試案例可能會(huì)涉及系統(tǒng)或組織中的多個(gè)部門、人員或?qū)ο螅兄诮M織中的所有成員意識(shí)到自己所在崗位對(duì)系統(tǒng)整體安全的影響，進(jìn)而采取措施降低因?yàn)樽陨淼脑蛟斐傻娘L(fēng)險(xiǎn)，有助于內(nèi)部安全的提升。用戶應(yīng)對(duì)滲透測(cè)試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過(guò)程都在用戶的控制下進(jìn)行。178。預(yù)攻擊階段（尋找滲透突破口）178。后攻擊階段（擴(kuò)大攻擊滲透成果）如下圖： 預(yù)攻擊階段主要包括網(wǎng)絡(luò)信息，如網(wǎng)絡(luò)拓補(bǔ)、IP及域名分布、網(wǎng)絡(luò)狀態(tài)等服務(wù)器信息，如OS信息、端口及服務(wù)信息、應(yīng)用系統(tǒng)情況等漏洞信息，如跟蹤最新漏洞發(fā)布、漏洞的利用方法等 信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)。信息收集的方法包括主機(jī)網(wǎng)絡(luò)掃描、操作類型判別、應(yīng)用判別、賬號(hào)掃描、配置判別等等。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合測(cè)試人員的經(jīng)驗(yàn)可以確定其可能存在，以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。 攻擊階段在這一階段，主要會(huì)用到以下技術(shù)或工具：賬號(hào)口令猜解有用的賬號(hào)口令除了系統(tǒng)賬號(hào)如UNIX賬號(hào)、Windows賬號(hào)外，還包括一些數(shù)據(jù)庫(kù)賬號(hào)、WWW賬號(hào)、FTP賬號(hào)、MAIL賬號(hào)、SNMP賬號(hào)、CVS賬號(hào)以及一些其它應(yīng)用或者服務(wù)的賬號(hào)口令。大多綜合性的掃描工具都有相應(yīng)的弱口令審核模塊。p針對(duì)具體的溢出漏洞，可以采用各種公開(kāi)及私有的緩沖區(qū)溢出程序代碼進(jìn)行攻擊， 代碼審查對(duì)受測(cè)業(yè)務(wù)系統(tǒng)站點(diǎn)進(jìn)行安全代碼審查的目的是要識(shí)別出會(huì)導(dǎo)致安全問(wèn)題和事故的不安全編碼技術(shù)和漏洞。 審查代碼中的XSS腳本漏洞；216。 審查代碼中的潛在緩沖區(qū)溢出；216。 其他軟件編寫錯(cuò)誤及漏洞的尋找及審查。這類測(cè)試通常可能用到的技術(shù)包括：對(duì)網(wǎng)絡(luò)設(shè)備和無(wú)線設(shè)備的遠(yuǎn)程攻擊；對(duì)防火墻的遠(yuǎn)程攻擊或規(guī)則探測(cè)、規(guī)避嘗試。 溢出測(cè)試當(dāng)測(cè)試人員無(wú)法直接利用帳戶口令登陸系統(tǒng)時(shí)，也會(huì)采用系統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時(shí)會(huì)導(dǎo)致系統(tǒng)死機(jī)或從新啟動(dòng)，但不會(huì)導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動(dòng)并開(kāi)啟原有服務(wù)即可。此類漏洞是入侵者最常用的入侵方式之一。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來(lái)存儲(chǔ)商品價(jià)格、用戶名、密碼等敏感內(nèi)容。 跨站攻擊入侵者可以借助網(wǎng)站來(lái)攻擊訪問(wèn)此網(wǎng)站的終端用戶，來(lái)獲得用戶口令或使用站點(diǎn)掛馬來(lái)控制客戶端。根據(jù)最新的統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)，尤其是存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)比較嚴(yán)重的安全弱點(diǎn)之一。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web、數(shù)據(jù)庫(kù)等系統(tǒng)，Web腳本及應(yīng)用測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。 檢查應(yīng)用系統(tǒng)架構(gòu),防止用戶繞過(guò)系統(tǒng)直接修改數(shù)據(jù)庫(kù)；216。 檢查數(shù)據(jù)庫(kù)接口模塊，用以防止用戶獲取系統(tǒng)權(quán)限； 216。 檢查其他安全威脅；