web安全测试服务开展流程简介

最新推荐文章于 2024-04-30 14:16:06 发布
最新推荐文章于 2024-04-30 14:16:06 发布
阅读量7.1k 收藏 27
点赞数 11
分类专栏: web安全 文章标签: 流程 web安全 威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ilnature2008/article/details/54095284
版权

1、web安全测试流程设计简介

web安全测试业务主要围绕流程、标准、规范三个方面展开,其中流程是核心,标准和规范在流程运作中落地与执行。


2、web安全测试流程概要设计

当需要测试的web应用数以千计,就有必要建立一套完整的安全测试流程,流程的最高目标是要保证交付给客户的安全测试服务质量。


立项:项目建立,时间安排,人力分配,目标制定,厂商接口人确定;
系统分析&威胁分析:针对具体的web应用,分析系统架构、使用的组件、对外提供的接口等,以STRIDE为威胁模型进行对应的安全威胁分析,输出安全威胁分析表,重点关注top3威胁;
制定测试用例:根据威胁分析的结果制定对应的测试用例,测试用例按照模板输出,具备可执行性;
测试执行&漏洞挖掘:测试用例执行&发散测试,挖掘对应的安全问题or漏洞;
问题修复&回归测试:指导客户应用开发方修复安全问题or漏洞,并进行回归测试,确保安全问题or漏洞得到修复,并且没有引入新的安全问题;
项目总结评审:项目过程总结,输出文档评审,相关文档归档。

3、web安全测试流程详细设计--立项

每一个web应用的安全测试第一步就是立项,确定流程实施内容,包括如下:
客户提出测试需求:需求方、web应用名称、期望的目标等;
安排测试人员:安全测试人员安排,测试环境搭建;
测试计划制定:与需求方沟通测试计划安排,每一个流程阶段的时间计划,具体的测试内容;

最低0.47元/天 解锁文章
laughing哥哥
关注
  • 11
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
web测试的基本流程
duoceshi的博客
03-01 2713
(2)包含系统的哪些模块哪些方面(功能、性能、数据)、测试范围、测试环境 、测试工具 、测试数据、测试方法 、测试人力资源安排、测试进度安排、测试输出 、风险分析 、硬件环境、软件环境、借助到的一些测试浏览器兼容性工具、自动化测试工具、性能测试工具。(3)黑盒测试、白盒测试、冒烟测试、验收测试、包含哪些文档、报告等、一般有:测试计划、测试方案、系统评测报告、缺陷报告等、系统上线后可能会出现的问题,一些现在尚未解决的bug,各种使用环境可能出现的问题等;10)后续的版本迭代测试,注意做好回归测试;
新手入门:Web安全测试大盘点
测试萌萌
03-02 1308
主要是指攻击者通过巧妙的构建非法SQL查询命令,插入表单或请求字符串后提交,并根据返回的结果,来获得想要的数据。当然,这2种是SQL注入最基础的、最简单的方法。,它可以利用堆栈溢出,在函数返回时,将程序的地址修改为攻击者想要的任意地址,达到攻击者的目的。对Web应用软件来说,安全性包含Web服务器、数据库、操作系统以及网络的安全等,只要其中任何一个部分出现安全漏洞,都会导致整个系统的安全性问题。所以,在测试过程中,我们需要注意输入输出的大小长度以及格式规范限制,还有需要多模拟一些异常,关注异常的处理情况。
web安全测试测试方法有哪些?
最新发布
OKCRoss的博客
04-30 883
Web安全测试是确保Web应用程序安全的重要环节,通过采用合适的测试方法,可以有效地发现和修复潜在的安全风险和漏洞。在实施Web安全测试时,建议根据实际情况选择合适的测试方法,并根据结果采取相应的措施来提高应用程序的安全性。2.存储型XSS测试:将恶意的HTML或JavaScript代码存储在应用程序的数据库中,检查其他用户是否可以看到和执行该代码。1.反射型XSS测试:向应用程序输入恶意的HTML或JavaScript代码,验证该代码是否被输出到页面上并执行。
WEB安全测试实战
软件质量优化
01-04 2867
一、常见WEB安全漏洞1、黑客技术分析2、常用黑客工具介绍3、WEB常见攻击方式 二、WEB安全漏洞检测1、HTTP安全测试2、URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改3、HTTP安全漏洞检查、常用工具、案例分析 4、跨站脚本攻击(XSS)方法、XSS原理剖析5、XSS攻防演练、案例分析6、XSS漏洞检查方法、工具、代码审查7、XSS造成的安全后果、如何预防XSS
Web常见安全漏洞及测试方法介绍
搬砖的小白
03-24 921
11
金融网络安全Web应用服务安全测试通用规范及众测实施指南.zip
03-25
金融网络安全 Web 应用服务安全测试通用规范,用于规范和强化现有金融信息系统Web应用服务安全测试内容和方法。 金融网络安全网络安全众测实施指南,内容涉及网络安全众测组织实施架构、网络安全众测实施流程、 网络...
WEB项目(PC端)测试规范
07-19
本文档将详细介绍如何进行有效的WEB项目测试,旨在指导软件测试工作的开展,确保项目的稳定性和用户体验。 1. 引言 1.1 目的 本测试规范旨在为WEB项目的测试过程提供清晰的指导,包括测试策略、方法和标准,以识别...
APP端兼容性及WEB端兼容性测试方案.docx
05-31
首先,开展人工测试测试工程师借助测试设备对主流程和主功能、主界面进行测试,收集所有的能收集到的不同型号的测试设备测试流程和主界面,看看主流程和主界面是否有问题。如果存在问题,那么综合考虑设备的使用...
Web安全测试解决方案
巅峰测试
09-29 5404
介绍常见的Web安全风险,Web安全测试方法、测试基本理论和测试过程中的工具引入等!  
如何进行WEB安全测试.doc
12-14
1.SQL Injection(SQL注入) 2.Cross-site scritping(XSS):(跨站点脚本攻击) 3.CSRF:(跨站点伪造请求) 4.Email Header Injection(邮件标头注入) 5.Directory Traversal(目录遍历) 6.exposed error messages(错误信息)
Web安全测试方案.pdf
07-06
测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及相应,以便测试人员掌握应用程序所有的接入点。
WEB安全测试培训.
05-01
WEB安全测试培训WWEB安全测试培训.EB安全测试培训.WEB安全测试培训.
服务端安全测试体系概括
好多可乐的博客
10-22 1186
安全测试概括
如何做好Web 安全测试
m0_37449634的博客
06-09 547
安全测试通常要考虑的测试点 更多学习资料 https://edu.csdn.net/course/detail/25768 https://edu.csdn.net/course/detail/22948 1, 问题:没有被验证的输入 测试方法: 数据类型(字符串,整型,实数,等) 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否允许 数值范围 特定的值(枚举型) 特定的模式(正则表达式) 2, 问题:有问题的访问控制 测试方法: 主要用于需要验证用户身份以..
作为测试人员如何写简历
后街女孩的博客
04-25 5591
作为测试人员如何将自己的简历写的更好,下面是我个人的一些见解: 1、个人信息(个人的姓名、年龄、专业、联系方式等基本的个人信息) 2、个人技能:精通要谨慎,数据上的知识:比如写过一万多行代码---要写出精通的数据,真正的技能 3、编程能力(会哪些语言编程)、工具使用能力(会使用哪些工具以及工具使用的程度)、Linux(自己搭建环境、常用的命令)、数据库的能力(日常的数据的维护、sql的优化、...
软件测试流程
Along_168163的博客
03-23 1035
软件测试流程
WEB测试项目实战——1.WEB项目测试备战
热门推荐
09-16 1万+
项目介绍:B/S架构的web项目 WEB项目测试备战 目录 WEB项目测试备战 一、实战路线图 (一)研发模型——瀑布模型 (二)测试遵循的原则——W原则 (三)项目实战课程路线图 前期准备-需求评审-设计评审-测试计划-测试架构-测试用例-环境搭建-功能测试-性能测试-安全测试-兼容测试-BUG测试总结 (四)战略目标 1.系统的掌握web测试方法、技能和思维 2.掌握测试...
如何开展web的安全测试
05-16
开展Web安全测试可以按照以下步骤进行: 1. 收集信息:了解Web应用程序的功能、架构、技术和安全特性。 2. 制定计划:制定Web应用程序的安全测试计划,包括测试目标、测试范围、测试方法、测试工具、时间表等。 3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值