一起来做安全测试

最新推荐文章于 2024-04-16 10:17:54 发布
最新推荐文章于 2024-04-16 10:17:54 发布
阅读量690 收藏
点赞数
分类专栏: 测试技术 文章标签: 安全测试 角色转换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgstclyh/article/details/78203684
版权

TW洞见. 测试文集 (ThoughtWorks洞见)

文章二、让我们一起来做安全测试吧!

1、安全测试从何做起:

  •   转换视角:从安全角度去看问题,例如一些便利性的问题就变成了信息泄漏
  •   角色转换:从合法用户视角转换为恶意用户(其实和第一点是说的一回事,不过第一点特别重要,单独提也很必要
  •  使用专门的安全测试工具:例如渗透测试工具,扫描工具等(2018年元旦前要学习一下Burpsuite,温习一下Appscan,了解一下Fortify
2、结合功能测试开展安全测试的实践

       
           感觉和安全评估有些相似之处,  前面两步实际就是资产识别和风险识别。( 回头把安全等保、渗透测试、App测试的内容好好串串,整个笔记出来。


   TW洞见. 测试文集 (ThoughtWorks洞见)的其他文章看了看,偏理论和感悟类的;讨论BDD和CuCumber的;弱 网 测试 时 碰到的问题和解决方案;等等。没有相关实践因此也没什么太深体会,没必要摘了。
QA的职责:

对应敏捷测试四象限:



Leo笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全测试工具
02-22
WEB安全测试是一种检测和评估Web应用程序和服务器安全性的方法。为了帮助用户造就安全的Web站点,扫描程序可以在黑客“黑”你之前,先测试一下自己系统中的漏洞。下面是10大Web漏洞扫描程序,供您参考。 1. Nikto:...
Windows 企业网络渗透测试.pdf
10-06
在网络安全领域,渗透测试是评估系统安全性的一种方法,模拟黑客攻击来发现并修复漏洞。针对Windows企业网络的渗透测试尤其重要,因为Windows操作系统在企业环境中广泛使用,且往往承载着关键业务和敏感数据。本文件...
如何进行安全性测试?
yyj173637的博客
04-08 1154
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中到“有的放矢”,及时修补漏洞。
安全性测试
weixin_68789096的博客
04-19 142
功能验证是采用当中的方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中到“有的放矢”,及时修补漏洞。
用Python安全测试攻击实战,2024年最新软件测试程序员架构之路该如何继续学习
最新发布
2401_84281601的博客
04-16 270
在这个示例中,我们发送了一个含有恶意JavaScript代码的请求到目标网站。如果网站没有正确地过滤用户输入,那么这段代码将在其他用户的浏览器中执行,并将他们的cookie发送到攻击者的网站。在这个示例中,我们发送了一个请求到目标网站,试图访问/etc/passwd文件,这是一个通常含有用户账户信息的文件。在这个示例中,我们使用了一个已经被盗取的会话cookie来向目标网站发送一个改变邮箱的请求。在这个示例中,我们发送了一个含有恶意SQL代码的请求到目标网站。24b (备注软件测试)**
安全测试的几种方法
VN520的博客
04-19 1132
安全渗透测试:由专业安全人员模拟黑客,从其可能存在的位置对系统进行攻击测试,在真正的黑客入侵前找到隐藏的安全漏洞,从而达到保护系统安全的目的1、有针对性的测试:开灯测试。测试人员完全了解系统内部情况下开展的测试2、外部测试3、内部测试4、盲测5、双盲测试1、规划和侦察2、安全扫描:静态分析和动态分析3、获取访问权限:测试人员模拟黑客对应用程序进行攻击4、维持访问权限:查看被发现的漏洞是否可以长期存在于系统中5、入侵分析:将测试结果汇总成测试报告。
安全测试方法和用例
weixin_43409011的博客
02-26 1783
一、目的: 梳理web项目安全关注点及测试方法,形成通用安全测试清单。 二、安全检查清单: 1、Web系统 类型 安全项 通过标准 备注 传输协议 未使用https引起的信息泄露、运营商劫持等问题 1、对外提供服务、面向C端用户的web、H5、接口均应启用https传输; 2、服务器间交互且有身份或白名单等形式校验,对响应时间要求高的可考虑走http 原则上无条件默认推https,遇到http的需沟通确认 信息泄露 敏感信息未
网络安全系统测试报告.pdf
10-01
在网络安全系统中,IP 地址和 MAC 地址绑定测试旨在验证系统是否能够正确地将 IP 地址和 MAC 地址关联起来,确保网络安全和可靠性。 四、基于用户名称过滤测试 基于用户名称过滤是指根据用户名称对网络流量进行...
互联网云生态下DDOS安全产品的一些考虑和测试方法(一)
03-01
DDOS攻击(DistributedDenialofService分布式拒绝服务)指攻击者操纵多台客户端(称为肉鸡或傀儡机),联合起来对一个或多个目标发动DDoS攻击(同时攻击或按一定策略攻击),以提高拒绝服务的攻击效果。某种意义上讲,...
为什么不推荐去安全测试工程师?
每天学习一点,今后必成大神
12-25 2万+
对,你没看错。我不推荐大家去安全测试工程师。 为什么不推荐大家去安全测试? 今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用,很可能会给企业造成经济损失,带来负面声誉影响的同时,还可能被起诉遭到罚款等等,细思极恐。其中的一部分原因是企业本身安全意识不强,...
web安全性测试Fiddler使用教程
12-10
Fiddler使用教程,web安全性测试利器,简要实用,看完就知道怎么用Fiddler
什么是安全测试?一文教会你如何开展系统安全测试
deerxiaoluaa的博客
05-31 2559
软件测试是对项目研发过程产物(文档、代码、程序等)进行审查,保障产品质量的过程。软件测试从测试内容上可以分为功能测试、性能测试、安全测试、兼容性测试等等。其中,安全测试是当今互联网产品的一项重要测试。那么,什么是安全测试?应该如何开展安全测试呢? 一、安全测试的前世今生 1945年12月, 在宾夕法尼亚大学摩尔电气工程学院,占地1500 平方英尺,重达30吨的世界上第一台全电子数字计算机ENIAC诞生。不过,那时的计算机输入还是卡片带,谈不上编程语言。随着第一代电子的计算机诞生,出现了机器语言和
菜鸟浅谈——web安全测试
热门推荐
u010559128的博客
02-27 5万+
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫www(3w),非常普遍的互联网应用,每天都有数以亿万...
安全测试-优秀测试工程师必备的4项安全测试方法!
weixin_34266504的博客
04-30 1694
用您5分钟时间阅读完,希望能对您有帮助! 一.安全性测试 1、安全性测试方法测试手段可以进行安全性测试,目前主要安全测试方法有:  1)静态的代码安全测试 主要通过对源代码进行安全扫描,根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞。 静态的源代码安全测试是非常有用的方法,它可以在编码阶段找出所有可能存在安全风险的代码,这样开发人员可以在早期解决潜...
Python带你入门安全测试
软件测试技术分享
05-12 186
今天我们聊一聊网络端口扫描那些事,以及Python如何助力于端口扫描。无论今后你是否从事网络安全或者安全渗透测试一职,只要你在测试,测开领域行走着,奔跑着,“网络端口扫描”将是你知识技能储备中不可或缺的一角。
怎么软件安全性测试
m0_37449634的博客
11-20 3265
appscan扫出来的漏洞,你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫出很多问题,但是不一定都是真正需要修改优化的, 你要自己分析看下。。。appscan扫出来最常见的就是Cross-site scritping跟sql Injection了。。 另外,业务安全也很重要,楼主可以多关注。 我用过一段时间的appscan,但是主要是对web service进行测试,让它自己跑,可能会出现部分安全警告,这些是肯定需要提交报告的,然后在弹出的报告里面会有一些针对性网.
Burp Suite 插件开发.pdf
10-06
《Burp Suite 插件开发.pdf》是关于网络安全渗透测试和Burp Suite插件开发的文件。该文件包括设置开发环境和配置...总结起来,这个文件对于对网络安全渗透测试和Burp Suite插件开发感兴趣的人是一个很有价值的资料。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值