1、安全體系測試�;
1)部署與基礎結構;
網絡是否提供了安全的通信�。
部署拓撲結構是否包括內部的防火墻。
部署拓撲結構中是否包括遠程應用程序服務器����。
基礎結構安全性需求的限制是什么。
目標環(huán)境支持怎樣的信任級別��。
2)輸入驗證��;
如何驗證輸入。
A��、是否清楚入口點����。
B、是否清楚信任邊界���。
C��、是否驗證Web頁輸入�����。
D���、是否對傳遞到組件或Web服務的參數進行驗證。
E��、是否驗證從數據庫中檢索的數據��。
F����、是否將方法集中起來��。
G�、是否依賴客戶端的驗證�。
H、應用程序是否易受SQL注入攻擊��。
I����、應用程序是否易受XSS攻擊。
3)身份驗證����;
是否區(qū)分公共訪問和受限訪問���。
是否明確服務帳戶要求�。
如何驗證調用者身份����。
如何驗證數據庫的身份。
是否強制試用帳戶管理措施����。
4)授權��;
如何向最終用戶授權�����。
如何在數據庫中授權應用程序�����。
如何將訪問限定于系統級資源�����。
5)配置管理����;
是否支持遠程管理�。
是否保證配置存儲的安全。
是否隔離管理員特權����。
6)敏感數據;
是否存儲機密信息�����。
如何存儲敏感數據。
是否在網絡中傳遞敏感數據��。
是否記錄敏感數據�����。
