网站安全评估要点：网站安全检测涵盖了哪些方面？

网站安全检测涵盖哪些手段

网站安全检测主要涉及以下几种方式：

渗透检验：

Backtrack：提供加载纯净的黑客环境，用于进行渗透检验。

恶意代码侦测：

Virustotal：通过多种杀毒软件对恶意文件或URL进行扫描，以检测不同杀毒供应商是否将该软件标识为恶意软件。

漏洞探测：

Metasploit：一款漏洞探测框架，包括选择漏洞、配置攻击负载和执行攻击三个阶段。

端口扫描：

Nmap：支持Linux和Windows平台，执行TCP扫描、UDP扫描和操作系统识别等功能。

网络协议剖析：

Wireshark：一款数据包剖析工具，用于检查网络流量。

Web应用安全检验：

Acunetix：检验网站和Web应用程序的跨站脚本攻击、SQL注入攻击等常见Web漏洞。Burp Suite：一款完整的Web应用安全检验工具包，可作为代理服务器、Web爬虫等。

密码破解与侦测：

Cain and Abel：具备密码破解、穷举、侦测等功能。

数据加密：

TrueCrypt：一款开源加密软件包，支持多个操作系统，用于保护敏感数据。

多操作系统运行：

VMware：用于运行多个操作系统，便于在不同环境中进行检验。

这些手段共同构成了网站安全检测的完整体系，旨在确保网站的安全性能达到标准，并降低潜在的安全隐患。

软件安全检验涵盖哪些方面

软件安全检验包括程序、网络、数据库安全检验，根据系统安全指标不同，检验策略也有所不同。

1、用户程序安全的检验需考虑的问题包括：

①明确区分系统中不同用户权限。

②系统中是否存在用户冲突。

③系统是否会因用户权限的改变而混乱。

④用户登录密码是否可见、可复制。

⑤是否可以通过绝对途径登录系统（复制用户登录后的链接直接进入系统）。

⑥用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。

2、系统网络安全的检验需考虑的问题包括：

①测试采取的防护措施是否正确配置，有关系统的补丁是否已打上。

②模拟非授权攻击，观察防护系统是否坚固。

③使用成熟的网络漏洞检查工具检查系统相关漏洞。

④使用各种木马检查工具检查系统木马情况。

⑤使用各种防外挂工具检查系统各组程序的客外挂漏洞。

3、数据库安全需考虑的问题：

①系统数据是否机密（如银行系统，这一点尤为重要，一般网站则没有太高要求）。

②系统数据的完整性。

③系统数据可管理性。

④系统数据的独立性。

⑤系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）。