安全测试梳理

登录
认证机制
权限管理
通信加密
　　链路加密、数据加密
　　VPN技术
安全日志
文件上传漏洞
session和cookie
SQL注入
　　修改数据库内容
　　利用SQL注入登录
　　利用URL地址参数注入SQL
　　如何防御SQL注入：
　　　　1.检查变量数据类型和格式
　　　　2.过滤特殊字符
　　　　3.绑定变量，使用预编语句
MySQL的预编译功能-----------------------------------
1.建表 首先我们有一张测试表t，结构如下所示：
mysql> show create table t\G
*************************** 1. row ***************************
Table: t
Create Table: CREATE TABLE `t` (
`a` int(11) DEFAULT NULL,
`b` varchar(20) DEFAULT NULL,
UNIQUE KEY `ab` (`a`,`b`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
2.编译：
我们接下来通过 PREPARE stmt_name FROM preparable_stm的语法来预编译一条sql语句
mysql> prepare ins from 'insert into t select ?,?';
Query OK, 0 rows affected (0.00 sec)
Statement prepared
3.执行
我们通过EXECUTE stmt_name [USING @var_name [, @var_name] ...]的语法来执行预编译语句
mysql> set @a=999,@b='hello';
Query OK, 0 rows affected (0.00 sec)

mysql> execute ins using @a,@b;
Query OK, 1 row affected (0.01 sec)
Records: 1 Duplicates: 0 Warnings: 0

mysql> select * from t;
+------+-------+
| a | b |
+------+-------+
| 999 | hello |
+------+-------+
1 row in set (0.00 sec)

web信息防篡改
　　支持多OS
　　集成发布与监控功能
　　实时发布和备份
　　自动监控、自动恢复、自动报警
数据备份与恢复
fiddler
Nessus服务器扫描工具
Xenu超链接测试工具