1

操作系统漏洞检测

对网站服务器的操作系统进行漏洞扫描、安全检测。

2

中间件漏洞检测

检查Apache、Tomcat、Weblogic、Jboss等中间件的漏洞

3

数据库安全检测

对网站数据库进行渗透测试，包括数据库系统漏洞、数据库应用系统等。

4

不安全的端口策略

检测已开放的端口，并分析端口开放策略是否合理

5

SQL注入漏洞

检测Web网站是否存在SQL注入漏洞。通过SQL注入漏洞，攻击者可获得网站系统的后台管理员权限。

6

上传检测

检测Web网站的上传功能是否存在上传漏洞，

通过上传漏洞，攻击者可直接利用该漏洞上传木马获得webshell。

7

XSS跨站漏洞

检测Web网站是否存在XSS跨站脚本漏洞，如果存在该漏洞，网站可能遭受Cookie欺骗、网页挂马等攻击。

8

挂马检测

检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。

9

身份认证测试

检查是否满足安全要求中的身份认证要求，是否存在用户账户泄露、账户弱口令、账户密码可被暴力破解、登录被回放、登录被绕过的缺陷。

10

越权检测

如普通用户越权利用管理员的权限去操作

11

不安全的加密存储

如果探测到密文数据，将进行解密测试

12

帐号密码明文传输

帐号密码在网络中以明文传输

13

网站物理路径泄露

检测是否可以通过某种方式，发现网站文件的物理路径

14

管理地址泄露

检测Web网站是否存在管理地址泄露功能，如果存在此漏洞，攻击者可轻易获得网站的后台管理地址。

15

数据库泄露

检测Web网站是否在数据库泄露的漏洞，如果存在此漏洞，攻击者通过暴库等方式，可以非法下载网站数据库。

16

缓冲区溢出

检测Web网站服务器和应用服务器软件，是否存在缓冲区溢出漏洞。

17

源代码泄露

检测Web网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。

18

复测

漏洞修复完成后，进行一次复查

19

安全检测报告

对检测的结果编写安全检测报告。提供相应的安全解决方案。