安全测试关注的几个方面

最新推荐文章于 2023-07-26 13:52:28 发布
最新推荐文章于 2023-07-26 13:52:28 发布
阅读量440 收藏
点赞数
分类专栏: 安全测试
原文链接:https://maimai.cn/article/detail?fid=1525753675&efid=u_2xH3n3NzbWqElQpNPJZQ&use_rn=1
版权

代码层面安全保障【扫描】+业务层面安全保障

安全测试流程

  • 安全交付评审
  • 代码、依赖安全性扫描
  • 安全测试用例
  • 安全测试执行

需求阶段

破坏者思维审视需求,找出存在的漏洞,找出可以破坏的规则

代码层面-扫描

  • 静态代码扫描 sonar
  • 三方组件的扫描

数据脱敏

  • 敏感数据是否做了加密,数据落库查询,比如:账户密码、商家卡密
  • 敏感数据传输时是否加密,比如登陆、注册、找回密码、修改密码、支付、卡号密码等接口,抓包验证

跨目录权限-垂直权限

​ 垂直权限攻击又叫做权限提升攻击。其原理是由于Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。

跨站脚本

xss攻击,跨站脚本导致会话被劫持、敏感信息泄露、账户被盗

  • 在文本框中构造js或HTML,是否转义处理
  • 在带参数的url后面进行js传值进行请求,查看是否执行了js

SQL 注入

越权-水平权限

​ 水平权限漏洞是指Web应用程序接收到用户请求时,没有判断数据的所属人,或者在判断数据所属人时是从用户提交的参数中获取了userid,导致攻击者可以自行修改userid修改不属于自己的数据。

上传下载

文件的上传下载主要有三点

  • 一个是对用户磁盘空间的大小限制,比如提供了一个上传功能,用户无限制的上传大容量文件,导致磁盘成本巨大。
  • 文件类型校验
    比如要上传excel的,用户上传了html文件,这个是存在一定的风险的,特别是上传后可以直接访问资源文件,这样用户可以通过上传的html做一些xss的攻击
  • 资源下载的安全控制,比如用户下载自己的工资条,是这样一个链接,http://xxx.con/8888.xls,这样就可以联想修改8888这个值为其他值,查看他人的敏感数据

服务端端口

​ 服务器端口的测试,对有些自建机房,直接通过物理机进行部署的会很有用处,比如有些不需要使用的端口对外开放了,恶意用户可能利用该端口从事一些非法操作,我们可以通过nmap进行服务器的端口扫描,非必须的端口要关闭

业务需求维度

向小雅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试的几个要点
Testfan_zhou的博客
04-07 1967
很多刚入行的甲方安全从业者会因为对安全测试的理解不到位而事倍功半,往往感觉明明做了很多缺又没有什么成效,累了自己,又拿不出成果给领导。那么可以问问自己,你真的了解安全测试吗。 1.知道为什么要测试 执行渗透测试的目的是什么?是满足审计要求?是你需要知道某个新应用在现实世界中表现如何?你最近换了安全基础设施中某个重要组件而需要知道它是否有效?或者渗透测试根本就是作为你定期检查防御健康的一项例行公事?...
什么是安全测试?哪些阶段需要安全测试
最新发布
10-07 392
安全测试是指对软件系统的安全性进行评估和验证的过程。其目的是识别潜在的安全漏洞、弱点和风险,并采取相应的措施来保护软件系统免受恶意攻击和未授权访问。检测漏洞和弱点:通过模拟真实攻击场景,测试人员尝试利用各种技术和方法来发现系统中的漏洞和弱点,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。评估系统的防御能力:测试人员会评估系统的安全机制和控制措施的有效性,包括身份验证、访问控制、加密、防火墙等。
划重点!入门安全测试,这几点要注意!
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-26 240
总的来说,入门安全测试需要学习基本的计算机和网络知识,掌握安全测试原理和方法,熟悉常用的安全测试工具,实践安全测试技术,并不断学习和保持更新。安全测试时从内容安全、数据合规、功能合规、隐私保护等安全角度考虑,在需求迭代流程中评估安全风险,通过引入安全测试工具,编写安全角度的测试用例及测试用例执行,以挖掘安全漏洞和风险的一系列动作。:了解安全测试的基本概念、原则和技术是入门的重要一步。根据应用程序和系统的特点,可能会出现其他类型的漏洞,因此综合使用不同的测试方法和工具来进行全面的安全测试是很重要的。
安全测试的考虑点及测试方法
qq_37051174的博客
06-12 1032
安全测试的考虑点及测试方法 软件安全测试主要包括程序、数据库安全测试。根据系统安全指标不同测试策略也不同。 用户认证安全测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.用户推出系统后是否删除了所有鉴权标记,是否...
安全测试
hxg12346的博客
09-14 2215
软件测试题目 date: #文章生成时间 这个默认不用动 软件测试 tags: [HTML , JAVASCRIPT , ES6] #文章标签,用来做搜索的,注意:后面有个空格 —测试用例的特性 有效性: 测试用例是测试过程中的重要参考依据。加粗样式 不同测试人员根据相同的测试用例,得到的输出应该是一致的。 对于准确的测试用例的计划、执行和跟踪是测试有效性的有力证明。 可复用性: 良好的测试...
安全测试需要考虑的测试
m0_37449634的博客
11-18 1073
安全测试通常要考虑的测试点 1, 问题:没有被验证的输入 测试方法: 数据类型(字符串,整型,实数,等) 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否允许 数值范围 特定的值(枚举型) 特定的模式(正则表达式) 2, 问题:有问题的访问控制 测试方法: 主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址 例:从一个页面链到另一个页面的间隙可以看到URL地址 直接输入该地址,可以看到自己没有权限的页面信息
安全测试关注
自动化软件测试
07-20 635
用户认证安全方面测试
AI大模型测试案例通常包括的几个方面
09-13
6、计算机视觉(CV)测试:CV测试关注模型对图像和视频的解析能力。这包括图像分类、目标检测、图像分割和视频理解,要求模型能识别图像中的物体、场景、活动,以及视频中的动态事件。 7、图像分类:模型需要将图片...
Express黑盒安全测试1
08-04
在进行Express黑盒安全测试时,需要关注以下几个方面: 1. 输入验证:Express需要对用户输入进行严格的验证,以防止攻击者 inject 恶意代码。 2. 认证和授权:Express需要对用户进行认证和授权,以防止未经授权的...
登录安全测试用例设计点.docx
11-25
登录安全测试用例设计点 1.  查看用户密码后台存储是否加密 1)查看数据库中的密码存储 2.  用户密码在网络传输过程中是否加密 1)查看请求数据包中的密码是否加密 3.登录退出后session是否销毁,使用登录时的session是否不能再访问登录才能访问的页面 1)登录系统时通过Burp suite截取登录相关请求数据,并记录session信息,且空白区域右击,将请求Send Repeater,请请求发送到Repeater模块。 2)退出系统 3)在Repeater模块单击Go按钮,再次发送登录请求查看系统是否对退出后的用户授权session进行解除授权。
网络安全基础-黑盒测试
08-24
以下是黑盒测试在网络安全中的几个关键应用场景: 1. **漏洞探测**:黑盒测试可以帮助发现系统对外部输入的不当处理,如SQL注入、跨站脚本(XSS)和命令注入等常见的安全漏洞。测试人员尝试构造恶意输入,以观察...
软件安全测试(完整版)
05-30
这份由中科大提供的完整版PPT详细阐述了软件安全测试的各个方面,对于理解和实施有效的安全测试策略具有极高的指导价值。 首先,软件安全测试的目标是发现并修复可能存在的安全漏洞,包括但不限于权限滥用、...
安全测试」智能设备漏洞挖掘中几个突破点 - 漏洞预警.zip
11-28
本文将主要围绕“「安全测试」智能设备漏洞挖掘中几个突破点 - 漏洞预警”这一主题展开,探讨如何有效地进行安全测试,防止高级持续性威胁(APT)以及利用云安全策略来保护企业和用户的数据。 首先,智能设备的漏洞...
安全测试架构(维度)
weixin_42887935的博客
10-11 695
安全测试架构通信层应用层系统层管理层 安全测试分为四个层面,包括通信层、应用服务层、系统层、管理层的测试。 通信层 主要测试通信协议的安全,系统开放的端口,其中操作系统提供网络层和数据链路层协议,存在问题的可能性较小,一般关注开源协议已存在漏洞即可,无需重点关注。应用层服务与协议一般由产品形态决定,产品中可以自定义配置相关协议与参数,需要重点关注测试。 应用层 应用层包含开发人员开发代码,为整个...
安全测试应从哪几个方面去考虑?
u011177782的专栏
06-26 6832
用户认证安全测试要考虑问题: 1.         明确区分系统中不同用户权限 2.         系统中会不会出现用户冲突 3.         系统会不会因用户的权限的改变造成混乱 4.         用户登陆密码是否是可见、可复制 5.         是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.         用户退出系统后是否删除
安全测试应该从那几个方面进行?
weixin_41839388的博客
08-22 4814
软件的安全性应从哪几个方面测试? 软件安全测试包括程序、数据库安全测试。根据系统安全指标不同测试策略也不同。 用户认证安全测试要考虑问题: 明确区分系统中不同用户权限 、 系统中会不会出现用户冲突 、 系统会不会因用户的权限的改变造成混乱 、 用户登陆密码是否是可见、可复制 、 是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统)、 用户退出系统后是否删除了所有鉴权标记, 是否可以使用后退键而不通过输入口令进入系统 、 系统网络安全测试要考虑问题: 测试采...
安全测试需考虑的问题
06-06 332
安全测试的目的: 提升IT产品的安全质量; 尽量在发布前找到安全问题予以修补降低成本 ; 度量安全。 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵,不受各种因素的干扰。 软件安全测试包括程序、数据库安全测试。领过国际指出根据系统安全指标不同测试策略也不同。   用户认证安全测试要考虑问题:   1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值