一個(gè)完整的門戶網站(zhàn)安全體系短數測試應該從部署與基礎結構，輸入驗證，身份驗證，授權，配自來置管理，敏感數據，會話管理，加密，參數操作，異常管理，審核和(h到妹é)日志記錄等幾個(gè)方面入手。
   但是常見的安全性缺陷和(hé)漏洞有：
   一、緩沖區溢出好資，已經成為應用系統安全的主要威脅之一了。開歌
   通(tōng)常有兩種原因雜說：
    1、設計空間的轉換規則的校(xiào)驗問(w文麗èn)題。即缺乏對可(kě)測數據的校(xiào)驗，導緻非西新法數據沒有在外部輸入層被檢查出來并丢棄。
    2、局部測試空間和(h家我é)設計空間不足。當合法數據進入後，由于程序實現層對應的測試空間或設計空購又間不足，導緻程序處理時出現溢出。
   二、權限過大，如(rú)果賦下明予過大的權限，***可(kě)能導緻隻有普通(tōng)用戶權限的惡意用戶火說利用過大的權限做出危害安全的操作。例如(rú)沒有對能操作的内容做出從靜限制，***可(kě)能導緻用戶可(kě)以訪問(wèn)超劇好過他權限的資(zī)源。将影響到整個(gè)系統的數據安全，其北可他關(guān)于系統中(zhōng)所做的安全（數據的加密、完整性）也*明動**沒有了意義。
   三、錯誤處理，一般情況下(xià)，在做出錯大冷誤處理的時候，系統都會返回一些信息給用戶，比如(rú)中(zhōng)懂個間件信息。這一類的信息沒有做到隐藏，可(kě)能會被惡意音靜用戶利用來進行攻擊并獲取用戶數據。常見報錯：404。在測試中(zhōng)草費，一定要注意對系統反饋信息的收集因為在現實環境中(金數zhōng)，非法用戶的攻擊都是出信息收集開始的。
   四、加密弱點，在平時的測試工作通女中(zhōng)，在訪談開發人員時很多時候他們的有對系愛藍統重要信息進行加密，但是在我們上工具（抓包、漏洞掃描）時***會發現：
    1、用不安全的加密算法。加密算法強度子村不夠，一些加密算法甚至可(kě)以用簡單字典***能通(t可秒ōng)過窮舉的方法進行破解。像MD5加密，有些********歌和*隻是做了簡單的轉換，通(tōng)過抓取的信息在已轉換***能得到詳細的用戶紙他信息。
    2、加密數據時密碼是由僞随機算法産生的，而女姐産生僞随機數的方法存在缺陷，這樣***導緻外校密碼容易被破解。
    3、客戶機與服技河務器(qì)時鐘未同步，給攻擊者足夠的時間來破解密碼或雨務修改數據。
   以上的門戶網站(zhà空知n)均是在測試時，訪問(wèn)量不大的政企門戶網站(zh黑校àn)。從中(zhōng)央開始清查全國黨政企業(yè)的“僵屍網站(zhàn兵喝)”起等保測試中(zhōng)這塊業(yè)務的比重***在增加，在上述的常她分見安全問(wèn)題中(zhōng)還有***是管理制度的不到位做長也是我們在測評工作中(zhōng)注意的****放下**。