1����、安全體系測試;
1)部署與基礎(chǔ)結(jié)構(gòu)�;
網(wǎng)絡(luò)是否提供了安全的通信。
部署拓撲結(jié)構(gòu)是否包括內(nèi)部的防火墻�。
部署拓撲結(jié)構(gòu)中是否包括遠程應(yīng)用程序服務(wù)器。
基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么����。
目標(biāo)環(huán)境支持怎樣的信任級別。
2)輸入驗證����;
如何驗證輸入����。
A、是否清楚入口點��。
B��、是否清楚信任邊界�。
C�����、是否驗證Web頁輸入�。
D�����、是否對傳遞到組件或Web服務(wù)的參數(shù)進行驗證��。
E���、是否驗證從數(shù)據(jù)庫中檢索的數(shù)據(jù)����。
F����、是否將方法集中起來。
G����、是否依賴客戶端的驗證。
H����、應(yīng)用程序是否易受SQL注入攻擊�。
I����、應(yīng)用程序是否易受XSS攻擊。
3)身份驗證����;
是否區(qū)分公共訪問和受限訪問。
是否明確服務(wù)帳戶要求��。
如何驗證調(diào)用者身份���。
如何驗證數(shù)據(jù)庫的身份����。
是否強制試用帳戶管理措施����。
4)授權(quán)����;
如何向最終用戶授權(quán)��。
如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序�。
如何將訪問限定于系統(tǒng)級資源��。
5)配置管理�;
是否支持遠程管理。
是否保證配置存儲的安全�。
是否隔離管理員特權(quán)。
6)敏感數(shù)據(jù)���;
是否存儲機密信息�����。
如何存儲敏感數(shù)據(jù)���。
是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)。
是否記錄敏感數(shù)據(jù)����。
