CS架构系统如何漏洞扫描

可以使用Kali工具库之Nikto。Nikto是一个开源的WEB扫描评估软件，可以对Web服务器进行多项安全测试，能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许迹睁的 http模式等。

Kali默认已经安装Nikto，apt-get update，apt-get install nikto

使用说明：打开Kali工具列表，点击02-漏洞扫描，选择nikto LOGO，会打开Terminal终端

指定端口扫描：使用命令nikto -h http://xxx.xxx.xxx.xxx -p 端口号可以指定端口进行扫描，同样可以指定SSL协议，进行HTTPS扫描知丛。

指定目录扫描：有时候我们只要扫描网站下的某个子目录，我们可以使用-c 参数指定扫描的目录，使用-c all 可进行目录爆破，并扫描。

多目标扫描：nikto支持姿猛岁多个目标进行扫描，我们将多个地址写入到文本中，通过- host参数+文本的方式进行扫描。

那个，CS是指浏览器和服务器，BS是指客户端和服务器。

1．硬件环境不同:

C/S 一般建立在专用的网络上, 小范围里的网络环境, 局域网之间再通过专门服务器提供连接和数据交换服务.

B/S 建立在广域网之上的, 不必是专门的网络硬件环境,例与电话上网, 租用设备. 信息自己管理. 有比C/S更强的适应范围, 一般只要有 *** 作系统和浏览器就行

2．对安全要求不同

C/S 一般面向相对固定的用户群, 对信息安全的控制能力很强. 一般高度机密的信息系统采用C/S 结构适宜. 可以通过B/S发布部分可公开信息.

B/S 建立在广域网之上, 对安全的控制能力相对弱, 面向是不可知的用户群.

3．对程序架构不同

C/S 程序可以更加注重流程, 可以对权限多层次校验, 对系统运行速度可以较少考虑.

B/S 对安全以及访问速度的多重的考虑, 建立在需要更加优化的基础之上. 比C/S有更高的要求 B/S结构的程序架构是发展的趋势, 从MS的.Net系列的BizTalk 2000 Exchange 2000等, 全面支持网络的构件搭建的系统. SUN 和IBM推的JavaBean 构件技术等,使 B/S更加成熟.

4．软件重用不同

C/S 程序可以不可避免的整体性考虑, 构件的重用性不如在B/S要求下的构件的重用性好.

B/S 对的多重结构,要求构件相对独立的功能. 能够相对较好的重用.就入买来的餐桌可以再利用,而不是做在墙上的石头桌子

5．系统维护不同

系统维护是软件生存周期中,开掘闷歼销大, -------重要

C/S 程序由于整体性, 必须整体考察, 处理出现的问题以及系统升级. 升级难. 可能是再做一个全新的系统

B/S 构件组成,方面构件个别的更换,实现系统的无缝升级. 系统维护开销减到最小.用户从网上自己下载安装就可以实现升级.

6．处理问题不同

C/S 程序可以处理用户面固定, 并且在相同区域, 安全要求高需求, 与 *** 作系统相关. 应该都是相同的系统

B/S 建立判冲在广域网上, 面向不同的用户群, 分散地域, 这是C/S无法作到的. 与 *** 作系统平台关系最小.

7．用户接口不同

C/S 多是建立的Window平台上,表现方法有限,对程序员普遍要求较高

B/S 建立在浏览器上, 有更加丰富和生动的表现方式与用户交流. 并且大部分难度减罩乎低,减低开发成本.

8．信息流不同

C/S 程序一般是典型的中央集权的机械式处理, 交互性相对低

B/S 信息流向可变化, B-B B-C B-G等信息、流向的变化, 更象交易中心

了解其特性之外，我觉得测试就不是问题了。

主要要说明几个方面

1功能性测试

1）功能正确性，检测标准为需求文档或者设计文档，主要检查是否存在功能缺失

2）流程正确性，正常流程、回退流程、分支流程是否能正常使用

3）功能可靠性，在错误、非法、空的情况系统是否能做出正确的响应（黑盒测试方法如边界值、等价类划分等，这个就不细说了）

4）流程可靠性，主要针对非需求、设计上有说明可能棚歼为非法流程的 *** 作过程，这种情况在复杂流程系统中存在，经常出现单节点上有多个分支，或者存在交叉流程的系统中，顷数或者分支流程中存在回退 *** 作的，都有可能，具链乎冲体情况需要具体分析了

5）数据正确性，如果C/S的系统的话可能涉及金融行业，钱算的对不对，算法的逻辑判断，这个需要结合功能正确性和可靠性一起进行测试的

2、对于性能要求的话，主要关注以下3个方面，时间特性（响应时间、传输时间等）、用户数情况（并发用户数、在线用户数等）、资源特性（服务器的CPU、内存、网络等使用情况、客户端的cpu情况、内存使用情况），这个需要团队在开发伊始就要注意的，主要集中在技术选型、开发框架、数据库设计方面

后面的内容需要团队的能力提升以后的事情了，不过现在可以让大家有相关意识，不用以后手忙脚乱

3、安全特性主要关注应用安全（包括功能性安全、权限安全等）、系统安全（软件是否存在安全后门等等类似）

4、兼容性关注不同的 *** 作系统

5、易用性关注用户能否易于上手（这个可以扩展出去的内容）

有这几个方面，我想差不多够了，当然还有更细节的方面。

---