做的比较粗糙，大家在这块有什么可以交流下，消逝黑盒主要测试点用户管理模块，权限管理模块，加密系统，认证系统等工具使用Appscan（首要）、AcunetixWebVulnerabilityScanner（备用）、HttpAnalyzerFull、TamperIESetup木桶原理安全性最低的模块将成为瓶颈，需整体提高他人模型（虽然比较旧了）（一）可手工执行或工具执行1.1）输入的数据没有进行有效的控制和验证1.21）用户名和密码-11.22）用户名和密码-21.3）直接输入需要权限的网页地址可以访问1.4）上传文件没有限制（此次不需要）1.5）不安全的存储1.6）操作时间的失效性（二）借助工具或了解后手工来进行测试2.1）不能把数据验证寄希望于客户端的验证2.21）不安全的对象引用，防止XSS等攻击2.22）不安全的对象引用，防止XSS等攻击2.23）注入式漏洞（SQL注入）2.24）传输中与存储时的密码没有加密2.25）目录遍历（三）研发或使用工具才能进行3.1）Getorpost3.2）隐藏域与CGI参数3.3）不恰当的异常处理3.4）不安全的配置管理3.5）缓冲区溢出3.6）拒绝服务3.7）日志完整性。可审计性与可恢复性工具篇（一）WatchfireAppscan填入用户名与密码（各页面通用）（二）AcunetixWebVulnerability（三）ScannerHttpAnalyzerFullMethod主要验证到时是否使用post来进行认证与会话Result主要看加载项是否出现http403、404、500等错误（对于错误还要进行归类）（四）TamperIESetup（五）其他工具