今天完成的事情：

今天开始了支付的测试用例，，上午的话做了一点赚分任务
明天计划的事情：

测试用例：
遇到的问题：

有的图片都没有，感觉应该不太好写
收获：

一．安全测试原则与常见的安全威胁：

1.安全需求：

 认证:对认证的用户的请求返回

 访问控制：对未认证的用户的权限控制和数据保护

 完整性：用户必须准确的收到服务器发送的信息

 机密性：信息必须准确的传递给预期的用户

 可靠性：失败的频率是多少？网络从失败中恢复需要多长时间？采取什么措施来应对灾难性的失败？（个人理解这个地方应该更偏向于容错容灾测试的范畴）

 不可抵赖：用户应该能证明接收到的数据来自特定的服务器

2.常见的安全测试内容

权限控制

SQL注入

URL安全测试

XSS（跨站脚本攻击）

CSRF（跨站请求伪造）

URL跳转漏洞

其他安全方面的考量

接下来，我们以一个C#实现的下常见的MVC架构网站为例，来分析具体的各个安全测试角度。

二.权限控制

权限控制相对来说比较简单，功能测试的过程中也接触过不少，主要就是考虑以下方面：

1.用户权限：我们假设存在两个用户A,B；其中A的权限级别很高，B的权限级别则很低：

只有A能进行的操作，B能不能进行操作；

只有A能看到的页面，B能不能看到；

2.页面权限：

 必须登录才能看到的页面，不登录直接访问能否看到？

 必须A-B-C的页面，能否直接A-C？

 通常来说单纯的权限控制页面测试不复杂，但是因为权限控制和后续的URL跳转、Session等方面结合的比较紧密，所以单独提出来。

安全测试总结下所知道的一些可能被利用的入侵点：

　1、SQL注入漏洞

　　老生常谈了，可以利用漏洞扫描器确定问题的所在，然后使用SPI Dynamics公司的SQL注入器等先进行渗透测试。

　　2、XSS跨站漏洞

　　XSS一直是重中之中，我们能做的是不停的扫描，注重问题的解决，在各个开放层面进行扫描。

　　3、服务器溢出漏洞

　　此漏洞目前好象比较少，只要管理员勤打补丁基本没事，不过在很多性能测试不过关的网站上问题比较严重。

　　4、上传漏洞

　　利用上传漏洞能直接得到WEBSHELL，危害等级终极高，之前比较流行。目前都比较少见了。。我们需要的是对服务器服务的严格把控。

　　5、DDoS

　　一般正确的管理员配置可以解决。

　　6、同服务器漏洞

　　很多的代理服务器的问题，你的网站做得安全，可是在你的服务器上的另外某些站点做得漏洞百出。因为都是同一个服务器的吧。。 所以别人就会利用别的服务器。提权。 然后得到你的服务器权限。

　　7、社会工程学

　　最难防御的问题，在于安全意识本身的加强。

　　先总结到这里，给自己留下点Memory，之后在此基础上加强。