一個(gè)完整的門戶網站(zhàn)安全體系物來測試應該從部署與基礎結構，輸入驗證，身份驗證，授權，討麗配置管理，敏感數據，會話管理，加密，參數操作，異常管理，審核和(hé)日志飛日記錄等幾個(gè)方面入手。
   但是常見的安全性缺陷和(hé)漏洞有：
   一、緩沖區溢出，已兵外經成為應用系統安全的主要威脅之一了。
   通(tōng)常有兩種原因：
    1、設計空間的轉換規則的煙麗校(xiào)驗問(wèn)題。即缺乏對可(k腦愛ě)測數據的校(xiào)驗，導緻非法數據沒有在外部輸入層被檢查出公和來并丢棄。
    2、局部測試空煙空間和(hé)設計空間不足。當合法數據進入後，由于程序匠答實現層對應的測試空間或設計空間不足，導緻程序處理時出現溢出。
   二、權限過大，如(rú)果歌我賦予過大的權限，***可(kě)能導緻隻有普通(tōng)用戶權限如和的惡意用戶利用過大的權限做出危害安全的操作。例如(rú)沒有對能操作的内容做出間錢限制，***可(kě)能導緻用戶可(kě)以訪問(wèn)知遠超過他權限的資(zī)源。将影響到整個(gè)系統的數女紙據安全，其他關(guān)于系統中(zhōn多花g)所做的安全（數據的加密、完整性）也**數玩*沒有了意義。
   三、錯誤處理，一般情況下(xià)，在做出錯綠房誤處理的時候，系統都會返回一些信息給用戶，比如(rú)中(zh村那ōng)間件信息。這一類的信息沒有做到隐藏，可(kě)能會被惡意用戶相又利用來進行攻擊并獲取用戶數據。常見報錯：404。在測試中(zh光信ōng)，一定要注意對系統反饋信息的收集因為在現實環境中(zhō南從ng)，非法用戶的攻擊都是出信息收集開始的。
   四、加密弱點，在平時的測試工作中(zhōng)，在去樂訪談開發人員時很多時候他們的有對系統重要信息進行加密，但是知拿在我們上工具（抓包、漏洞掃描）時***會發現：
    1、用不安全的加密算法。加密算法強度不上窗夠，一些加密算法甚至可(kě)以用簡單字資工典***能通(tōng)過窮舉的方法進行破解。像MD5加密，有離離些*********隻是做了簡單的轉換，通(tōng)過抓取的信息劇愛在已轉換***能得到詳細的用戶信息。
    2、加密數據時密碼是由僞随機算法産生的，而産放放生僞随機數的方法存在缺陷，這樣***導緻密碼容易被破解。
    3、客戶機與服務器(qì)時鐘未同步，給攻擊者足夠西山的時間來破解密碼或修改數據。
   以上的門戶網站(zhàn)信多均是在測試時，訪問(wèn)量不大的政企門戶網站(zhàn)。線金從中(zhōng)央開始清查全國黨政企業(yè)的“僵屍網站(zhàn見喝)”起等保測試中(zhōng)這塊業(yè)務的比重***在增加，在上件跳述的常見安全問(wèn)題中(zhōng)還有***是管理制度的不到位也是我一校們在測評工作中(zhōng)注意的******。