web安全测试必须注意的五个方面( 二 ) _web

三、克服的小困难上面所述的都是需要人工进行手动参与，且人力操作时不会那么饱满全面，所以这是一个遇到的小问题。现在有一个针对web系统进行漏洞扫描的工具:AWVS，它通过网络爬虫测试你的网站安全，检测流行安全漏洞，针对漏洞主要分为四个等级：高危、中危，低危以及优化，它会进行内外链接的安全性，文件是否存在以及传输是否安全，也包含SQL注入跟XSS攻击，输入地址，用户名密码后，进行扫描完成后会展示相应的数据：漏洞的数量，漏洞的描述，建议性的修复；扫描网站的时长，文件数据量，环境信息等，较为全面！
四、安全测试的思路跟框架主要根据以下六点来实现一个较为完整的安全测试的思路，框架就是根据半手工、半自动来实现整个系统的验证。

部署与基础结构
输入验证
/身份验证（权限验证）
敏感数据
参数操作
审核和日志安全；

五、目前存在的问题/需要优化的现在的安全测试大多是半手工、半自动化，但都不是专业级，所以还在摸索阶段，只能尽可能地去发现系统中存在的漏洞，且测试理论很难适用于安全领域；
安全测试基础理论薄弱,当前测试方法缺少理论指导，也缺乏更多的技术产品工具；
安全测试需要对系统所采用的技术以及系统的架构等进行分析，这方面也是较为薄弱的环节！

【web安全测试必须注意的五个方面】