(持续更新中)Web功能测试下的安全测试如何进行?

最新推荐文章于 2024-09-28 19:02:04 发布
最新推荐文章于 2024-09-28 19:02:04 发布
阅读量385 收藏 6
点赞数 3
文章标签: 前端 功能测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86402742/article/details/141825064
版权

Q:安全测试如何执行?

Q:安全测试报告长啥样?咋写?

Q:什么是sql 注入?什么是文件上传漏洞?什么是 XSS 漏洞?

Q:什么是 CSRF 漏洞?

Q:什么是越权访问?

Q:什么是信息泄露?

以上问题作为功能测试人员往往满脑子都是这些问题。

很多初学者学习安全测试都会去搜索一些安全测试方法,比如提到很多的 kali、appscan 、ZAP 等自动化安全测试工具。 然后在不知道工具运行策略等基础上,拿来用是没有任何意义的,且通过实际操作,默认的工具策略执行出的结果是无法满足安全测试目标要求的。 学习的前提我个人建议应该是去工具化重思维理解。工具只是辅助的去验证你的思维结果正确性、结果性。

二、Web 安全测试范围

以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。

面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。 所以我里首先枚举 Web 安全测试的范围内容。

1. Web 网站通用的安全漏洞测试范围

  • SQL 注入攻击
  • 跨站脚本攻击 XSS
  • XML 外部实体注入(XXE)
  • 跨站点伪造请求(CSRF)
  • 服务器端请求伪造(SSRF)
  • 任意文件上传漏洞
  • 任意文件下载漏洞
  • 任意目录遍历漏洞
  • 信息泄露
  • CRLF 注入
  • 命令/代码执行
  • URL 重定向
  • 第三方组件安全
  • 本地远程文件包含
  • 安全配置错误
  • 不安全的加密存储
  • 传输层保护不足
  • 已存在的脚本木马

2.基于业务层面的安全漏洞范围

  • 未授权访问
  • 验证码机制
  • 业务数据篡改
  • 业务流程乱序
  • 业务接口恶意调用
  • 用户账号枚举
  • 用户密码枚举
  • 用户弱口令
  • 会话标志固定攻击
  • 越权访问

3.基于应用框架及中间件安全漏洞

  • Webloigc反序列化命令执行
  • Bash远程解析命令执行漏洞
  • Websphere反序列化命令执行
  • Jenkins反序列命令执行
  • Jboss反序列化命令执行
  • Struts2远程命令执行
  • OPENSSL心脏滴血漏洞
  • shiro反序列化命令执行
  • Apache Log4j 2 远程代码执行漏洞
  • 5.3.10 Spring框架远程代码执行漏洞
  1. 域名安全
  • AWVS扫描
  • Xray扫描

三、范围以及对应测试方式

以下使用实际安全测试方法实现安全测试范围的测试执行动作。

1. SQL 注入漏洞

定义:我这里就不把官方的话来讲给广大的读者听了。 这里我总结一句话就是:任何有参数传递且存在用加号拼接 sql 查询语句逻辑的接口,在对传参进行相关结构化数据传递后都有可能造成 SQL 注入。

1.1 方法:

  • 汇总当前系统所有相关业务接口
  • 在选择一个接口进行安全测试之前,可以用 burpsuite pro 对请求内容进行文件存储
2401_86402742
关注
〖Python WEB 自动化测试实战篇⑮〗 实战 - 自动化测试的持续集成
易编橙 · 终身成长社群,相遇已是上上签!
06-16 4万+
今天要和大家来聊聊关于自动化测试的持续集成,通过前文的学习,我们的自动化测试框架、测试的思想已经融入到了整体的代码编写过程了。接下里的下一步就是如何让自动化测试能够像开发一样、敏捷思想一样,能够持续集成的跑起来。可能大家对持续集成还不是太了解,那就先简单的了解一下持续集成的思想吧。.....................
Web项目测试点总结(持续更新
qq_41811874的博客
09-27 3068
写在前面 所有的测试都以需求为依据,当然有时候需求文档并不健全,就需要测试人员通过其它人员口述获取,或者通过比较市面上同类型的产品作为比较。 接触过Web项目测试的人都应该知道Web端测试也就分为两种,一种是功能测试,一种是非功能测试。 这篇文章仅从工作(持更)这两大方面进行梳理,有不足的地方希望能指出促进修改。 测试点 一、功能测试 1.UI界面 需求文档角度: 是否和产品原型一致(一般...
app如何进行安全测试
weixin_43886221的博客
04-02 2652
软件安全性测试是软件质量保证过程的一个重要环节,其目的是为了发现、暴露和修复软件系统可能存在的安全漏洞或弱点,确保系统在遭受恶意攻击时能够有效保护数据的机密性、完整性和可用性。在设计和执行软件安全性测试时,测试人员会模拟各种安全威胁和攻击场景,以验证软件在面临这些潜在风险时的安全防护能力。总之,在执行安全测试时,不仅要注重技术手段的有效性,还要充分考虑法律、伦理、风险管理等多个维度,确保整个测试过程既严谨又合规。软件安全性测试旨在确保软件产品的整体安全性,并为用户提供一个安全可靠的环境来使用和交互。
Web安全工具—Nmap(持续更新
weixin_44431280的博客
03-08 1万+
Web安全工具—Nmap 简介:Nmap是一款非常强大的端口,主机探测工具,是用来探测计算机网络上主机和服务的一种安全扫描器,nmap会发送特制的数据包到目标主机,然后根据响应数据包进行分析来判断扫描目标的信息。 常用功能:主机探测,端口探测,服务探测,信息收集,漏洞探测等等 主机探测: 扫描单个主机:nmap 10.86.0.35 扫描整个子网:nmap 192.168.1.1/24 扫描多个目标:nmap 192.168.1.1 192.168.1.5 扫描一个范围内的目标:nmap 192.168.1
Web自动化测试怎么做?Web网页测试全流程解析
伤心的辣条
02-25 1844
如果我们使用 java 脚本或 AJAX 调用来实现 UI 功能、执行安全检查或验证,那么会对我们的 Web 应用程序的浏览器兼容性测试带来更多的压力。不同的浏览器有不同的配置和设置,我们需要测试网页在各系统、各浏览器品牌和版本下展示效果是否一致。该站点应处理多并发的用户请求、来自用户的大量输入数据、同时连接到数据库的请求、特定页面上的负载等。我们在编辑、删除、修改表单或执行任何与数据库相关的功能时,都应检查数据的完整性和错误。这些是普遍接受的标准,就像我上面提到的关于恼人的颜色、字体、框架等的标准。
Web测试性能测试基础
测试界的彭于晏的博客
03-17 1827
软件测试基础,如何做性能测试?测试工作开展性能测试应该关注那些点?性能测试都有哪些指标?以下整理出一些参考测试点(整理自互联网),希望对大家测试工作有帮助 性能测试相关 1连接速度测试 用户连接到Web应用系统的速度根据上网方式的变化而变化,他们或许是电话拨号,或是宽带上网。当下载一个程序时,用户可以等较长的时间,但如果仅仅访问一个页面就不会这样。如果Web系统响应时间太长(例如超过5秒钟),用户就会因没有耐心等待而离开。 另外,有些页面有超时的限制,如果响应速度太慢,用户可能还没来得及浏览内
Web测试方法大全
fanfangyu的博客
07-22 3394
通常,测试工具在第二次使用的时候,它创造的效益,就足以支付成本。(2)XSS跨网站脚本攻击程序或数据库没有对一些特殊字符进行过滤或处理,导致用户所输入的一些破坏性的脚本语句能够直接写进数据库,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性。业务流程,一般会涉及到多个模块的数据,所以在对业务流程测试时,首先要保证单个模块功能的正确性,其次就要对各个模块间传递的数据进行测试,这往往是容易出现问题的地方,测试时一定要设计不同的数据进行测试。...
Web安全笔试题总结(2022持续更新
qq_54037445的博客
12-02 2040
1、反单引号在PHP和SQL语言的作用分别是什么?2、Java反射的作用是什么?3、Java反序列化的基本原理?4、PHP反序列化漏洞的基本原理5、描述一下SQL二次注入漏洞的原理6、描述一下Shiro550漏洞的原理7、qlmap --os-shell参数分别在面对MySQL和MSSQL数据库执行的原理8、sqlmap--technique和--dbms参数的含义是什么?9、端口22、1433、1521、2375、3306、3389、6379、7001分别对应的服务名称分别是什么?10、描述一下R
web自动化测试面试题(持续更新
Caoqingqing521的博客
01-07 2156
1.xpath和css的区别 1.css写法更简洁 2.css查找效率更快 3.xpath功能更强,但是效率较低 4.css不能用text 2.selenium的原理
应用安全测试技术DAST、SAST、IAST对比分析-持续更新
热门推荐
煜铭2011
06-16 2万+
应用安全测试技术DAST、SAST、IAST对比分析-持续更新 版权来源:安全牛首发文章,本文仅补充完善。 一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人...
web自动化测试框架及实践,应用python+selenium+pytest集成了web页面的功能巡检、写测试报告以及邮件发送测
06-01
8. **持续集成**:将自动化测试脚本整合到持续集成/持续部署(CI/CD)工具,如Jenkins、GitLab CI/CD或GitHub Actions,确保每次代码更新后都会自动执行测试。 以上就是基于Python+Selenium+Pytest的Web自动化测试...
软件测试面试题之如何对web系统进行全面测试(持续更新,求关注)
weixin_54253375的博客
07-22 1378
如何对web系统进行全面测试? 这是在软件测试面试经常会问到的一个问题,但要全面而合理地解答此问题却有点难度,以下是我在面试过程的总结整理,希望对大家有所帮助。 一、 功能测试   1、链接测试   链接是Web应用系统的一个主要特征,它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先,测试所有链接是否按指示的那样确实链接到了该链接的页面;其次,测试所链接的页面是否存在;最后,保证Web应用系统上没有孤立的页面,所谓孤立页面是指没有链接指向该页面,只有知道正确的
前端工程规范-2:JS代码规范(Prettier + ESLint)
Vinca@的博客
09-26 658
Prettier 主要关注代码的格式,而 ESLint 则关注代码的质量和规范。结合使用这两个工具,可以极大地提高代码的可读性和维护性,同时减少潜在的错误和不一致性。
前端面试经验总结2(经典问题篇)
最新发布
rita_0567的博客
09-28 772
因为计算机技术的快速发展,所以程序员如果不能保持对技术的持续性学习,会更容易的被淘汰,我从来不觉得程序员是一个轻松的职业,但是程序员是我最热爱的职业,我做好了充足的准备让自己能够长期在前端行业深耕。既要扩充自己的知识宽度,同时又不要一味的追求学习的东西越多越来,今天学两天这个,明天学两天那个,工作又没有得到使用的话,很快也都会忘记的。了解,贵公司主要是在xxx行业从事xxx业务,贵公司所处的行业是我非常看好的,我感觉贵公司的氛围我很喜欢,比如xxxx。遇到了哪些挑战,我如何在不利的条件下成长起来的。
grpcweb 客户端请求grpc-java服务器
nddjava的专栏
09-24 421
1. 定义grpc proto文件:HelloWorld.proto。5.grpc-web代理:nginx。3. grpc-web js生成。2. java grpc服务。4. grpc-web代码。
DC00015基于java web校园网上购物系统
黄昏下的黎明的博客
09-24 699
DC00015【含配套文档】基于java web校园网上购物系统。
如何使用ssm实现基于java web的防疫工作志愿者服务平台的设计与实现
寒夜
09-25 1011
【代码】ssm基于java web的防疫工作志愿者服务平台的设计与实现+jsp
卷轴模式开发的技术架构分析与源代码展示
weixin_43744973的博客
09-24 1074
在软件开发,"卷轴模式"(虽然不是一个广泛认知的术语,在此我们可以理解为一种类似于游戏或应用内容逐步加载与展示的模式,类似于古代卷轴展开的方式)通常用于处理大量数据或内容,特别是当这些数据或内容不适合一次性加载到内存时。这种模式在移动应用、网页应用以及游戏开发尤为常见。本文将分析实现卷轴模式的技术renxb001架构,并通过一个简单的示例代码来展示其基本实现。
实战揭秘:Web安全测试的逻辑漏洞与防范策略
在"Web安全测试常见逻辑漏洞解析(实战篇)"这篇文章,作者重点探讨了在现代Web安全测试,业务逻辑层的逻辑漏洞成为攻击者关注的焦点。这类漏洞相较于传统的SQL注入、XSS漏洞,由于直接涉及应用程序的核心业务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值