程序人生—谈安全测试的重要性_安全测试只要经过了这些检查,就必然没有这样的问题。-CSDN博客

本文链接：https://blog.csdn.net/2401_84254057/article/details/137997595

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新软件测试全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip1024b （备注软件测试）

正文

名词解析：暴力破解是指攻击者通过遍历或字典的方式，向目标发起大量请求，通过判断返回数据包的特征来找出正确的验证信息，从而绕过验证机制。随着互联网众多网站的数据库被泄露，攻击者选择的样本可以更具针对性，暴力破解的成功率也在不断上升。

1.2.5 拒绝服务攻击

名词解析：拒绝服务攻击（DoS，Denial of Service）是利用合理的请求造成资源过载，从而导致服务不可用的一种攻击方式。分为针对Web应用层的攻击、客户端/APP的攻击。

1.2.6 敏感信息泄露

名词解析：敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用，进行诈骗、账户窃取等，给用户和企业带来严重的不良影响。并且信息一旦信息被泄露，影响会很难消除。

1.2.7 业务逻辑漏洞

名词解析：业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞，如用户找回密码缺陷，攻击者可重置任意用户密码；如短信漏洞，攻击者可无限制利用接口发送短信，恶意消耗企业短信资费，骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密，常规的安全设备无法有效检测出，多数需要人工根据业务场景及特点进行分析检测。

1.2.8 跨站脚本攻击（XSS）

名词解析：跨站脚本攻击（XSS, Cross Site Script）通常指黑客通过“HTML注入”篡改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。XSS漏洞可被用于用户身份窃取（特别是管理员）、行为劫持、挂马、蠕虫、钓鱼等。XSS是目前客户端Web安全中最重要的漏洞。

XSS按效果的不同可以分为以下3种。

反射型XSS攻击：页面仅把用户输入直接回显在页面或源码中，需要诱使用户点击才能成功。
存储型XSS攻击：XSS攻击代码会被存储在服务器中，由于用户可能会主动浏览被攻击页面，此种方法危害较大。
DOM型XSS攻击：通过修改页面的DOM节点形成XSS，严格来讲也可划为反射型XSS。

1.2.9 跨站点请求伪造（CSRF）

名词解析：跨站点请求伪造（CSRF, Cross Site Request Forgery）。由于重要操作的所有参数都是可以被攻击者猜到，攻击者即可伪造请求，利用用户身份完成攻击操作，如发布文章、购买商品、转账、修改资料甚至密码等。

2 为什么要做安全测试

提到安全。我们一个产品一个网站最需要加强安全防范的就是数据库。那么如果缺少了安全性测试，在高手的sql盲注下，你的数据库就会逐步展现在黑客的面前，无论是数据库类型、表结构、字段名或是详细的用户信息，都有无数种手段可以让人“一览无余”。

在这里插入图片描述

2.1 权限

网站一般都规定了什么样的用户可以做什么事。比如版主可以修改所有人的帖子，而你普通用户只能编辑自己的帖子，同样游客只能看大家的帖子。这就是简单的权限。如果少了安全性保证，那么就容易有人跳出权限做他不该做的事情。

2.2 修改提交数据信息

比如一个支付商城，如果通过抓包抓到的提交价格，经过修改再发包可以通过。简单来说就是本来100块钱买的东西，抓包修改为1块就能成功购买。这就成为了一个巨大的隐患。

2.3 类似跨站脚本的安全隐患

HTML注入。所有HTML注入范例只是注入一个JavaScript弹出式的警告框：alert(1)。
做坏事。如果您觉得警告框还不够刺激，当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。
诱捕受害者，可能会redirect到另一个钓鱼的其他网站之类的，使其蒙受损失。

2.4 敏感词的校验

比如一个政府部门的一个网站或者app，里边可以输入一些有违目前制度以及一些领导人的词汇的问题，这样的影响是非常大的，所以我们要避免这些影响的发生。

3 如何来做安全测试

安全测试是在IT软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程，可以说，安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命周期各个阶段的安全测试，如下图所示。

在这里插入图片描述
上图中的风险分析、静态分析、渗透测试都属于安全测试的范畴，与普通测试相比，安全测试需要转换视角，改变测试中模拟的对象。下面从以下维度比较常规测试与安全测试的不同。

3.1 测试目标不同

普通测试以发现Bug为目标;安全测试以发现安全隐患为目标。

3.2 假设条件不同

普通测试假设导致问题的数据是用户不小心造成的，接口一般只考虑用户界面;安全测试假设导致问题的数据是攻击者处心积虑构造的，需要考虑所有可能的攻击途径。

3.3 思考域不同

普通测试以系统所具有的功能为思考域;安全测试的思考域不但包括系统的功能，还有系统的机制、外部环境、应用和数据自身安全风险与安全属性等。

3.4 问题发现模式不同

普通测试以违反功能定义为判断依据;安全测试以违反权限与能力的约束为判断依据。

4 工作中的总结

在这里插入图片描述

4.1 敏感词校验

步骤：

对小程序、h5、官网带输入框的进行敏感词输入、搜索。

小程序校验：

在这里插入图片描述
官网校验：

验证是否对敏感词有拦截，如有拦截则正常，如不能拦截则存在安全问题。

在这里插入图片描述

4.2 明文传输

对系统传输过程中的敏感内容是明文&密文进行检查，设计到的模块：登录、支付、注册的手机号、身份证、邮箱。

步骤：

对传输敏感信息场景进行抓包。
分析其数据包中的相关敏感字段是否为明文。

例如接口中手机号、座机号、姓名都是明文：

在这里插入图片描述

4.3 越权访问

测试是否可以通过url直接获取管理员和其他用户信息。

步骤：

查看url中是否存在admin/user/system/pwd等敏感目录。
当系统存在多个不同权限的管理员时，看低权限的管理员能不能访问到高权限的管理的资源。
当系统存在多个需要登录用户，用A用户进行登录，记录所浏览的个人资源的url和修改删除的操作；退出A用户后，登录B用户，使用所记录的url来直接访问，看是否可以访问成功或者操作成功。