【软件安全测试艺术—学习】安全测试要点

最新推荐文章于 2024-02-26 09:48:59 发布
最新推荐文章于 2024-02-26 09:48:59 发布
阅读量1k 收藏
点赞数
分类专栏: 安全测试 文章标签: 测试 软件测试 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/5830764
版权

1、明确安全测试与传统软件测试的不同

 

传统软件测试侧重于功能需求验证,缺少安全方面的关注,而安全测试则偏重于如何绕过这些功能限制,去操纵软件系统,即非法进入系

 

统,并进行操作。

 

2、安全测试需要具备的基本条件——像攻击者一样思考

 

  • 确定安全测试优先级

通过对要执行的安全测试进行评估并进行优先级排序,就能在有限的时间和资源条件下,最大限度的发现最多数量且最为严重的缺陷。

 

  • 使用辅助工具进行探测

合适的探测工具可以帮你更快的发现问题。

 

  • 从漏洞知识库中学习

  及时了解当前新发现的漏洞及解决方法,保持知识更新。

aovenus
关注
专栏目录
我读《软件安全测试艺术
巅峰测试
03-04 3651
 1         序原来做过两个项目的安全评估,做过几年的安全系统测试,但是对于安全测试也是有过评测的涉及,不过主要还是评测方面的,主要依据安全通用标准(CC)或者被测试设备的保护轮廓(PP),比如防火墙安全要求标准,IDS保护轮廓等;但是对于软件安全测试虽然有所涉及但是还是没有系统化的了解。前一段时间,测试时代的seanhe和3atesting的管理员kernzhang跟我说让
软件安全测试入门
fangWinnie的博客
10-13 190
1.SQL注入 2.框架钓鱼风险 3.XSS注入
读《软件安全测试艺术》有感
budingningmeng的专栏
12-03 1463
刚从图书馆拿到这本书时,觉得有点不可思议,一本才200页的书就有20页类似于序的开场,大多都是很高的评价,封面就有Oracle公司首席安全官的高见,他说“软件安全测试真的是一门艺术,本书用大量数字形象地描述优秀的、原汁原味的、恰到好处的破坏性安全测试:证明了“一盎司”的创造性破坏活动需要后期付出“一磅”的修补工作来弥补。”因此,带着一份崇敬开始了阅读第一本安全测试的书。 第一章从1-14页,讨论
软件安全性测试
2301_76161259的博客
03-15 3713
软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不安全的软件上市、避免不安全软件受攻击,就显得十分重要。一、软件安全性测试基本概念软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。1.用户程序安全的测试要考虑问题包括:① 明确区分系统中不同用户权限;② 系统中会不会出现用户冲突;
个人学习-软件安全测试术语记录(学习ing)
软件生命周期中的攻防博弈
01-19 1081
malicious 英[məˈlɪʃəs] 美[məˈlɪʃəs] adj. 恶意的,有敌意的; 蓄意的; 预谋的; 存心不良的; 全部释义>> [例句]But malicious speculation on the board has alsooccurred frequently. 但针对创业板的恶意炒作也频频发生。   wel
软件测试艺术》读后感 Or 读书笔记
weixin_43923968的博客
09-02 900
软件测试艺术》读后感 Or 读书笔记第一章 一次自评价测试第二章 软件测试的心理学和经济学2.1 软件测试的心理学2.2 软件测试的经济学2.3软件测试的原则 第一章 一次自评价测试 作为一个测试新人吧,做了一下自评价测试,分数,没有过书中的平均线,有点尴尬,不过还需锻炼吧。 第二章 软件测试的心理学和经济学 2.1 软件测试的心理学 我很认同书中所说的,测试是为发现错误而执行程序的过程,可能以前我会以为,是测试是为了提升用户体验,感觉之前的定义还是不够明确。书中就这个定义给出了论据: (1)描述了用例
软件测试艺术 英文原版
08-19
软件测试艺术》一书由 Glenford J. Myers 撰写,并由 Tom Badgett 和 Todd M. Thomas 修订及更新,辅以 Corey Sandler 的贡献。本书为第二版,版权归属于 Word Association, Inc.,并由 John Wiley & Sons, Inc. ...
软件测试:发现错误的艺术
教学要点中,重点强调了软件测试的目标与原则,测试用例设计的方法,如等价划分法、边界值分析法、错误推测法(黑盒测试),以及逻辑覆盖法和基本路径法(白盒测试)。此外,还提到了面向对象测试的特殊策略,如类...
软件安全测试(一)
weixin_43808898的博客
05-12 1648
软件安全测试之系统安全测试 你好! 欢迎学习 系统安全测试知识 。如果你想学习如何进行系统安全测试, 可以仔细阅读我的文章,了解一下系统安全测试。 系统安全测试工具介绍–Burp suite 1.工具下载地址:https://down.52pojie.cn/Tools/Network_Analyzer/Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip。安装burp会用到jdk,所以必须先配置好jdk , 此处不赘述。解压完成后右击burp-loader-keygen.jar,
软件安全测试艺术学习】漏洞是怎样隐藏到软件中去的?
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-24 640
大小并不重要                 ——犹达(Yoda)在修复软件缺陷的各个阶段,程序员的态度从拒绝到开明再到怀疑到的发展过程:那种问题不可能出现我的机器上没有出现过这种问题那种问题不应该出现怎么会发生那种问题噢,我看看以前怎么运行正常呢?怎样防止将来出现这样的问题? 软件安全漏洞的两大类别设计漏洞设计漏洞是一种设计错误,往往发现于软件的安全功能特性中。    2.   实现漏洞安全漏洞是由软件实际编码中的安全缺陷造成的。优秀的安全设计人员一般使用分类法、最低权限、攻击面缩减、密码技术等安全技术,
软件安全测试考虑点,测试点以及测试方法整理之二
一杯咖啡的渗透记忆
11-05 1267
接着上一篇 软件安全测试考虑点,测试点以及测试方法整理之一 2.输入<input type=”text” name=”user” onclick="alert(1)"/>,看是否出现文本框; 3.输入<script type=”text/javascript”>alert(“提示”)</script>看是否出现提示。 4.输入”><script t...
软件测试艺术——学习笔记
goForIt
11-29 491
软件测试是为发现错误而执行程序的过程黑盒测试:穷举输入测试 白盒测试:穷举路径测试软件测试的重要原则: 检查程序是否“未做其应该做的”仅是测试的一半,测试的另一半是检查程序是否“做了其不应该做的”原则1:测试用例中一个必需部分是对预期输出或结果的定义 测试用例包括: 1.对程序的输入数据的描述 2.对程序在上述输入数据下的正确输出结果的精确描述。 原则5:测试用例的编写不仅应当根据有效
软件安全测试考虑点,测试点以及测试方法整理之一
一杯咖啡的渗透记忆
11-05 4632
软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户身份认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.系统的密码策略,通常涉及到隐私,钱财或机密性的系统必须设置高可用的密码策略。 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直...
软件安全测试详细总结
MXB1220的博客
09-26 1176
今天笔者就自己的经验,系统总结了我所了解和掌握的安全测试,希望抛砖引玉,让更多更好的软件安全测试技术、经验被分享出来,供大家交流、学习,让我们的安全测试迈步起到一定的推动作用。这款工具能扫描出应用中的各种SQL注入漏洞,XSS漏洞以及其它的一些安全性漏洞,并给出漏洞的使用示例,以及详细的解决建议和方法。模拟审计数据已满情况,查看系统是否可选择“忽略可审计事件、阻止产生特有特权的授权用户外的所有可审计事件、覆盖所存储的最早的审计记录”中的一种处理方式,以确保审计数据不发生丢失现象。①管理上,存在安全隐患。
安全测试自学手册之软件安全测试基础
最新发布
weixin_45450567的博客
02-26 780
消息摘要技术(Message Digest)是一种用于确保消息完整性和安全性的密码学技术。它将输入的任意长度的消息数据转换成固定长度的摘要,通常表示为一串由数字和字母组成的哈希值。常见的消息摘要算法包括MD5(Message Digest Algorithm 5)和SHA(Secure Hash Algorithm)系列,如SHA-1、SHA-256、SHA-512等。不可逆性:无法通过摘要反推出原始消息的内容。唯一性:不同的消息很难生成相同的摘要,且即使输入消息的微小变化也会显著改变摘要的值。
软件安全测试-软件安全测试概述
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-06 3195
关于安全的重要性以及安全意识到底有多重要,咱们从2021年互联网历史上破坏力最惊人漏洞之一Log4j漏洞讲起,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。从爆发至今,Log4j漏洞影响的严重性、广泛性已经在各领域开始显现,并不断加大。简单点说,黑客可以恶意构造特殊数据请求包payload触发漏洞,从而可以在目标服务器上执行任意代码,导致服务器被黑客控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值