Web 安全测试主要围绕那几块进行

web安全测试主要围绕以下几块进行：

• 信息收集：也就是一般的信息泄漏，包括异常情况下的路径泄漏、文件归档查找等；

• 业务逻辑测试：业务逻辑处理攻击，很多情况下用于进行业务绕过或者欺骗等等；

• 认证测试：有无验证码、有无次数限制等，总之就是看能不能暴力破解或者说容不容易通过认证，比较直接的就是“默认口令”或者弱口令了；

• 会话管理测试：会话管理攻击在COOKIE携带认证信息时最有效；

• 数据验证测试：数据验证最好理解了，就是SQL Injection和Cross Site Script等等；