安全测试
一、什么是安全测试?
安全测试是指对应用程序存在的安全问题进行测试,安全测试是为了防止意外或者恶意对应用程序进行攻击。
安全测试分为安全功能测试和安全渗透测试,安全功能测试和安全渗透测试有不同,安全功能测试侧重攻,而渗透测试侧重于防。
二、安全功能测试点有哪些?
1、用户标识和鉴别
2、用户访问控制
3、安全审计
4、数据完整性
5、数据保密性
6、抗抵赖
7、软件容错
8、会话管理
9、外部接口
10、资源控制
11、端口测试
13、通用安全保障
三、安全渗透测试点有哪些?
1、越权访问漏洞
2、明文传输漏洞
3、SQL注入
4、XSS跨站脚本攻击
5、文件上传漏洞
6、后台泄露漏洞
7、敏感信息漏洞
8、目录遍历漏洞
9、命令执行漏洞
10、关键会话重放冲击
11、CSRF跨站请求伪造
12、任意文件包含或任意文件下载
13、XML实体注入
14、不安全cookies、不安全http
15、IP伪造
四、安全测试常用的工具
1、web漏洞扫描工具: Appscan、Awvs、Burpsuite
2、端口扫描工具:Nmap
3、抓包工具:Fiddle
4、其他工具:Sqlmap、Wireshark