【测试理论】安全测试初步了解

最新推荐文章于 2024-05-10 11:51:09 发布
VIP文章 最新推荐文章于 2024-05-10 11:51:09 发布
阅读量1k 收藏
点赞数
文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhuoyaa/article/details/126648048
版权

安全测试:软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准(客户需求、国家标准、技术层面)的过程。

安全分层:

        操作系统层面:端口、账号权限、补丁更新、渗透测试(操作系统层面)

        网络通信层面:协议(分层攻击)

        应用产品本身

常见的web安全测试点:

权限:

        用户

        角色(具备权限)or 组:更方便进行用户权限管理

        权限:例如操作系统的r w x

                超级管理员(分层)

                权限向下分配(扩散)

                不能提权、不能丢失

认证:

是指在交互过程中,怎么确保权限得到落实的一个过程。

在一个web系统中,最常用来实现认证的就是session和cookie。

从功能角度:测试功能即可

从安全角度,关注点:       

        不要在cookie中携带敏感数据。例如:用户名密码、校验字段等。

(cookie数据存在客户端,攻击者易获得PC本地相关cookie文件。敏感数据放在session中,cookie存放session id)

        敏感数据加密

        session的过期和续存机制是否合理

最低0.47元/天 解锁文章
大卓卓呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件测试的基本理论-安全测试-4
weixin_42914706的博客
06-03 855
安全测试贯穿整个软件生命周期:风险分析、静态分析、渗透测试属于安全测试范畴;安全测试需要转换视角,改变测试中的模拟对象;1) 测试目标不同普通测试:以发现bug为目的安全测试:以发现安全隐患为目的2)假设条件不同普通测试:假设导致问题数据是用户不小心造成;接口一般只考虑用户界面,安全测试:假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径;3)思考域不同普通测试:系统的功能作为思考域。
网络安全测试理论知识图解
xueyan2018的博客
12-07 882
很遗憾,这个世界上没有固若金汤的安全网站,网站的相对安全是通过提高攻击门槛达到的。 xss攻击 xss攻击即跨站脚本攻击(cross site script),指黑客通过篡改网页,注入恶意的HTML脚本,在用户进行浏览网页时,通过控制用户浏览器进行恶意攻击的一种行为。 常见的xss攻击,分为两种类型: 一是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击目的。【理解:攻击者发布一个含有恶意脚本的URL,用户访问了这个URL,该用户就可能会被攻击】如下图解: 二是存储型,黑客提交.
安全测试入门理论及工具
03-13
声明在前,本文次设计的ppt借鉴许多安全方面的博客,借鉴了吴翰清老师书里的一些知识及理论,只是为了普及安全测试,普及安全测试理论相关知识,如果你对安全测试感兴趣,这篇ppt可以给你一个入门的大概思路,后续我会将本人工作中培训的内容都发出来,如果有感兴趣的各位同行,欢迎大家批评指正
常见安全漏洞及测试方法&工具
zouhui1003it的专栏
08-18 1940
阿里 qa 导读:随着互联网发展,全球网民数量已达到40+亿,一个小小的安全问题可能会被无限放大,如何在系统研发及运营过程中100%保障用户的安全,一直也是业界的一道难题。最近几年不断发...
一、网络安全渗透测试的相关理论和工具
m0_55313512的博客
02-12 2208
Kali Linux 网络渗透测试
软件测试理论初步框架
09-29
此文献详细的描述了软件测试理论以及初步框架,比较适合想从事软件测试的人员阅读
软件测试初步理论讲稿
01-29
主要讲述软件测试基本理论,软件测试基础知识等,希望对初学者有所帮助。
Java-软件测试课件.rar
09-01
幻灯片还可能涵盖了测试自动化、性能测试安全测试等更具挑战性的主题,为学习者提供了一个深入了解不同测试领域的机会。 压缩包中的文档部分可能包括了更详细的内容,用于强化学习者对测试概念的理解。这些文档...
软件测试培训教程(精品PPT)
05-26
初步了解软件测试。包括软件测试的定义,分类,以及软件测试相关作用,软件测试常用的方法,常用的方法的基本介绍,软件测试的前景,测试报告的主要组成吗,以及相关的一些常用问题,用于学习和巩固,代理打开软件...
软件测试从这里开始
10-21
软件测试基本从入门到理论了解,是一本很好的软件初步学习书籍
web安全测试理论知识
hualf的博客
02-02 2925
互联网上的攻击大都将web站点作为目标。本文讲解具体有哪些攻击web站点的手段,以及攻击会造成怎样的影响~~
安全测试知识点
weixin_45550260的博客
06-30 637
安全测试的定义: 验证被测对象的安全保护机制能否在实际应用中保护系统不受非法侵入,用来保证系统本身数据的完整性和保密性。 安全测试方法: 1.功能验证 采用黑盒测试方法,对涉及安全的软件功能,如:用户管理模块、权限管理模块、加密系统、认证系统等进行测试。 2.漏洞扫描 漏洞扫描器分为主机漏洞扫描器和远程漏洞扫描器 主机漏洞扫描器是在系统本地运行检测系统漏洞的程序,如(COPS、Tripewire、Tiger).远程漏洞扫描器是网络远程检测目标网络和主机系统漏洞的程序,如(Satan、ISS、Interne
测试理论
热门推荐
juandaisy的博客
04-04 2万+
一、基本概念 定义:软件测试是为了发现错误而执行程序的过程,“寻找错误”是测试的目的            使用人工或自动手段运行或测定某个系统的过程,其目的在于检验它是否满足规定的需求或是否弄清预期结果与实际结果之间的差别           软件测试是一种重要的软件质量保证活动,测试过程中的活动包括分析软件和运行软件,是在软件投入运行前,对软件需求分析、设计规格说明和编码的最终复审,是软
性能测试理论部分
CrystalLee
05-27 3405
一、性能测试技术对于软件应用系统,仅仅从功能上满足用户的需求是不够的,还需要从性能方面更好地满足客户的需要。 性能尤其对于实时系统、嵌入式系统和在线服务系统要求更高些。这就要求我们做好系统的性能测试,以保证系统的高性能、高可用性。性能测试,一般都通过测试工具来模拟人为的操作而进行。性能测试的重点在于测试环境的建立、前期数据的设计与后期数据的分析。 本章重点讨论以下内容: ● 性能测试概述。 ● 性...
安全测试概论
weixin_45544843的博客
06-24 173
安全测试定义安全测试目的与普通测试区别与渗透测试区别安全测试应用分类API 安全测试Web安全测试APP安全测试安全测试要点 安全测试是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。 安全测试目的 提升产品的安全质量; 尽量在发布前找到安全问题予以修补降低成本; 度量安全; 验证安装在系统内的保护机制能够在实际应用中对系统进行保护,使其不被非法入侵,不收各种因素干扰; 与普通测试区别 测试维度 普通测试 安全测试 目标 测试以发现功能缺陷 以发现安全隐患为目
网络安全渗透测试的相关理论
千寻的博客
12-12 1626
1.1 网络安全渗透测试概念 1.1.1网络安全渗透测试是什么呢? 实际上网络安全渗透测试严格的定义应该是一种针对目标网络进行安全检测的评估。 通常这种测试由专业的网络安全渗透测试专家完成,目的是发现目标网络存在的漏洞以及安全机制方面的隐患并提出改善方法。 从事渗透测试的专业人员会采用和黑客相同的方式,对目标进行入侵,这样就可以检测网络现有的安全机制是否足以抵挡恶意的攻击。 1.1.2 网络安全渗透测试的方法 根据事先对目标信息的了解程度,网络安全渗透测试的方法有黑盒测试、白盒测试和灰盒测试3种。 黑
WHAT - 前端安全测试和常见攻击手段
weixin_58540586的博客
05-10 1280
前端安全测试和常见攻击手段。
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
网络安全招聘雇主与选择排序
08-18
对于网络安全行业而言,具备扎实的理论基础和实践经验的员工更容易胜任复杂的工作任务。 其次,熟悉和掌握多个技能领域也是招聘雇主的关注点。在网络安全行业中,不仅需要候选人熟悉基本的网络安全原理和技术,还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值