建立整体的威胁模型测试溢出漏洞、信息泄漏、错误处理、 注入、身份验证和授权错误.
1、限制Web应用在服务器上的运行 ,格设定WEB服务器的目录访问权限 2、进荇严格的输入验证控制用户输入非法路径,如在每个目录访问时有 搜索为空时,数据库显示出具体错误位置,可进行sql注入攻击或关鍵字猜测攻击