Web 安全測試主要圍繞那幾塊進行

web安全測試主要圍繞以下幾塊進行：

• 信息收集：也就是一般的信息泄漏，包括異常情況下的路徑泄漏、文件歸檔查找等；

• 業務邏輯測試：業務邏輯處理攻擊，很多情況下用于進行業務繞過或者欺騙等等；

• 認證測試：有無驗證碼、有無次數限制等，總之就是看能不能暴力破解或者說容不容易通過認證，比較直接的就是“默認口令”或者弱口令了；

• 會話管理測試：會話管理攻擊在COOKIE攜帶認證信息時最有效；

• 數據驗證測試：數據驗證最好理解了，就是SQL Injection和Cross Site Script等等；

回答所涉及的環境：聯想天逸510S、Windows 10。