网站类安全测试流程规范

此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。 安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试。测试工程师目前主要采用两种方法做安全测试，一种是采用自动化安全工具Hatrix扫描测试，自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection，一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证，两者的区别主要就是针对的漏洞类型不同。