网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
02 安全测试的实施
SQL注入测试
确认所有的解释器都明确的将不可信数据从命令语句或者查询语句中区分出来。
最有效的方法:代码审查、代码分析工具、测试人员也可以通过创建攻击的方法来确认这些漏洞。
用户权限测试
对一些有权限控制要求的功能进行验证。
敏感信息测试
用户密码没有加密显示或者存储、传输时是否被加密,银行卡号、手机号码等信息是否经过加密处理。
跨站脚本漏洞
跨站脚本有两种漏洞类型:存储式、反射式,这两种可能发生在服务器也可能发生在客户端。
- 避免服务器XSS:对所有不可信数据进行恰当的转义;
- 避免客户端XSS:避免传递不受信任的数据到js。
web安全测试的测试点很多,手工测试很难完整的找出所有切入点,对每个切入点进行全面的检查也会耗费大量测试人员的时间精力。
03 Web安全测试工具AppScan
AppScan其实是一个产品家族,包括众多的应用安全扫描产品:
- 对开发阶段的源代码进行扫描的AppScan source edition
- 对Web应用进行快速扫描的AppScan standard edition
- 进行安全管理和汇总整合的AppScan enterprise Edition
AppScan工具扫描的步骤如下:
1.提前备份数据库;
2.创建新的常规扫描;
3.登录方法,如果要输入验证码,选择提示方式
4.测试策略选择缺省值,也支持自定义配置;
5.启动全面扫描;
6.初次探索性扫描之后,工具会给出扫描专家建议,填写环境配置等;
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
、大纲路线、讲解视频,并且后续会持续更新**