一个项目,服务端用的是PHP,没有用任何框架,代码托管在BAE,所以安全性这块得自己做。
因为代码托管在BAE,我们暂时不需要考虑服务器的安全性,所以我所指的安全性可能更多地是指代码安全性这一块
但是之前没有很系统地了解过这一块要怎么做,只是零零散散地对一些常见的可能的攻击点做了处理:XSS、SQL注入等。
但是,只靠自己东拼西凑感觉总是没底。我想知道有没有一套系统的安全性测试的流程或者标准来评估自己网站的安全性呢?
或者说,有没有朋友可以分享一下自己在处理这类问题的一些心得?
360的网站检测:http://webscan.360.cn/
还有鸟哥的taint拓展:http://pecl.php.net/package/taint
给你的领导说,使用乌云众测:http://test.wooyun.org