1、数据库
任何一款产品或网站的数据库是*需要加强安全防范的,如果不进行安全测试,产品数据库就会在黑客面前一览无余,如数据库类型、表结构、字段名或是详细的用户信息等
2、权限
一般软件产品会规定哪些用户可以做哪些事,也就是用户使用权限,如果没有足够的安全保障,那么就会有用户跳出权限做不是权限范围内做的事。
3、修改提交数据信息
举例一个需要支付的商城,如果在安全性测试过程中,通过抓包抓到的提交价格,经过修改再发包可以通过,这就会成为一个巨大的隐患。
4、跨站脚本的安全隐患
所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。如果觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。诱捕受害者,可能会redirect到另一个钓鱼网站之类的,使其蒙受损失。
卓码软件测评,专业的第三方软件测试机构,获得CMA、CNAS双重认证资质,全国范围内可出具**软件测试报告的检测机构。