1、安全體系測(cè)試；

1)部署與基礎(chǔ)結(jié)構(gòu)；

網(wǎng)絡(luò)是否提供了安全的通信。

部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻。

部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器。

基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么。

目標(biāo)環(huán)境支持怎樣的信任級(jí)別。

2)輸入驗(yàn)證；

如何驗(yàn)證輸入。

A、是否清楚入口點(diǎn)。

B、是否清楚信任邊界。

C、是否驗(yàn)證Web頁(yè)輸入。

D、是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證。

E、是否驗(yàn)證從數(shù)據(jù)庫(kù)中檢索的數(shù)據(jù)。

F、是否將方法集中起來(lái)。

G、是否依賴客戶端的驗(yàn)證。

H、應(yīng)用程序是否易受SQL注入攻擊。

I、應(yīng)用程序是否易受XSS攻擊。

3)身份驗(yàn)證；

是否區(qū)分公共訪問和受限訪問。

是否明確服務(wù)帳戶要求。

如何驗(yàn)證調(diào)用者身份。

如何驗(yàn)證數(shù)據(jù)庫(kù)的身份。

是否強(qiáng)制試用帳戶管理措施。

4)授權(quán)；

如何向最終用戶授權(quán)。

如何在數(shù)據(jù)庫(kù)中授權(quán)應(yīng)用程序。

如何將訪問限定于系統(tǒng)級(jí)資源。

5)配置管理；

是否支持遠(yuǎn)程管理。

是否保證配置存儲(chǔ)的安全。

是否隔離管理員特權(quán)。

6)敏感數(shù)據(jù)；

是否存儲(chǔ)機(jī)密信息。

如何存儲(chǔ)敏感數(shù)據(jù)。

是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)。

是否記錄敏感數(shù)據(jù)。