安全性测试规范

安全威胁：
(1) 信息泄露：信息被泄露或透露给某个非授权的实体。
　　(2) 破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。
　　(3) 拒绝服务：对信息或其他资源的合法访问被无条件地阻止。
　　(4) 非法使用(非授权访问)：某一资源被某个非授权的人，或以非授权的方式使用。
　　(5) 窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
　　(6) 业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。
　　(7) 假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
　　(8) 旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。
　　(9) 授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。
　　(10)特洛伊木马：软件中含有一个觉察不出的有害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
　　(11)陷阱门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略。
　　(12)抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。
　　(13)重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送。
　　(14)计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
　　(15)人员不慎：一个授权的人为了某种利益，或由于粗心，将信息泄露给一个非授权的人。
　　(16)媒体废弃：信息被从废弃的磁碟或打印过的存储介质中获得。
　　(17)物理侵入：侵入者绕过物理控制而获得对系统的访问。
　　(18)窃取：重要的安全物品，如令牌或身份卡被盗。
　　业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等

　　威胁的主要来源有：
　　◆ 自然灾害、意外事故；
　　◆ 计算机犯罪；
　　◆ 人为错误，比如使用不当，安全意识差等；
　　◆ "黑客" 行为；
　　◆ 内部泄密；
　　◆ 外部泄密；
　　◆ 信息丢失；
　　◆ 电子谍报，比如信息流量分析、信息窃取等；
　　◆ 信息战；
　　◆ 网络协议自身缺陷，例如TCP/IP协议的安全问题等等。
　　◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包

2017 TOP10安全事件：
A1-XSS跨站脚本攻击
A2-注入漏洞
A3-恶意文件执行
A4-不安全的直接对象引用
A5-CSRF攻击
A6-敏感信息泄露
A7-中断认证和会话管理
A8-不安全的密码存储
A9-不安全的通信
A10-不安全的通信未能限制URL访问

二、我国信息安全产品（系统）评估标准现状

《操作系统安全保护等级评估准则》
《数据库管理系统安全保护等级评估准则》
《路由器安全保护等级评估准则》
《包过滤防火墙安全保护等级评估准则》

《计算机信息系统安全等级保护 端设备隔离部件技术要求>
《计算机信息系统安全等级保护 网络技术要求
《计算机信息系统安全等级保护 数据库管理系统技术要求》
《计算机信息系统安全等级保护 管理要求》
《计算机信息系统安全等级保护 通用技术要求》
《入侵检测系统安全保护等级评估准则》

《通用评估方法》

安全防护：
操作系统
数据库
操作失误或维护错误，未授权访问，恶意代码或病毒攻击，权限滥用
交换机
数据库
应用软件
操作失误或维护错误，未授权访问，漏洞利用
其它

应用程序信息安全评估标准

安全测试标准规范

config.php
main.php
错误页面路径泄露
该操作可能防止在用户浏览器中执行不受信任的内容（例如用户上载的内容）（例如在恶意命名之后）。
系统帐户枚举和域名检索
可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

发现自签署 SSL 证书
?可能会阻止 Web 应用程序服务其他用户（拒绝服务）
?可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息