(持续更新中)Web功能测试下的安全测试如何进行?,美团网络安全开发工程师岗位职能要求

最新推荐文章于 2024-05-08 03:53:12 发布
最新推荐文章于 2024-05-08 03:53:12 发布
阅读量252 收藏 8
点赞数 3
分类专栏: 2024年程序员学习 文章标签: 前端 功能测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60452134/article/details/137387877
版权

Q:什么是 CSRF 漏洞?

Q:什么是越权访问?

Q:什么是信息泄露?

以上问题作为功能测试人员往往满脑子都是这些问题。

很多初学者学习安全测试都会去搜索一些安全测试方法,比如提到很多的 kali、appscan 、ZAP 等自动化安全测试工具。 然后在不知道工具运行策略等基础上,拿来用是没有任何意义的,且通过实际操作,默认的工具策略执行出的结果是无法满足安全测试目标要求的。 学习的前提我个人建议应该是去工具化重思维理解。工具只是辅助的去验证你的思维结果正确性、结果性。

二、Web 安全测试范围

以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。

面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。 所以我里首先枚举 Web 安全测试的范围内容。

1. Web 网站通用的安全漏洞测试范围

  • SQL 注入攻击
  • 跨站脚本攻击 XSS
  • XML 外部实体注入(XXE)
  • 跨站点伪造请求(CSRF)
  • 服务器端请求伪造(SSRF)
  • 任意文件上传漏洞
  • 任意文件下载漏洞
  • 任意目录遍历漏洞
  • 信息泄露
  • CRLF 注入
  • 命令/代码执行
  • URL 重定向
  • 第三方组件安全
  • 本地远程文件包含
  • 安全配置错误
  • 不安全的加密存储
  • 传输层保护不足
  • 已存在的脚本木马

2.基于业务层面的安全漏洞范围

  • 未授权访问
  • 验证码机制
  • 业务数据篡改
  • 业务流程乱序
  • 业务接口恶意调用
  • 用户账号枚举
  • 用户密码枚举
  • 用户弱口令
  • 会话标志固定攻击
  • 越权访问

3.基于应用框架及中间件安全漏洞

  • Webloigc反序列化命令执行
  • Bash远程解析命令执行漏洞
  • Websphere反序列化命令执行
  • Jenkins反序列命令执行

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

89e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

面试狗哦
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机:Kioptrix_2014,2024年最新美团网络安全开发工程师岗位职能要求
2401_84184567的博客
04-10 728
攻击机:kali(192.168.56.101)靶机:Kioptrix: 2014(192.168.56.108)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/kioptrix-2014-5,62/
新手入门:Web安全测试大盘点
测试萌萌
03-02 1315
主要是指攻击者通过巧妙的构建非法SQL查询命令,插入表单或请求字符串后提交,并根据返回的结果,来获得想要的数据。当然,这2种是SQL注入最基础的、最简单的方法。,它可以利用堆栈溢出,在函数返回时,将程序的地址修改为攻击者想要的任意地址,达到攻击者的目的。对Web应用软件来说,安全性包含Web服务器、数据库、操作系统以及网络的安全等,只要其任何一个部分出现安全漏洞,都会导致整个系统的安全性问题。所以,在测试过程,我们需要注意输入输出的大小长度以及格式规范限制,还有需要多模拟一些异常,关注异常的处理情况。
WEB安全测试要点总结_安全测试要领csdn(1),web信息管理系统怎么做
2401_84170337的博客
04-08 729
阿里一直到现在。**
软件安全测试-web安全测试基础
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-10 2612
通过该文,你可以系统了解web安全测试的范围,类型,相关技术Cooike,Session,Token。
2024年WEB安全测试要点总结_安全测试要领csdn(1),字节跳动面试官
最新发布
2401_84563287的博客
05-08 804
而非使用${xxx}方式,就不存在SQl注入问题。注:sqlMap尽量不要使用;使用的是Statement(拼接字符串),会出现注入问题。,将转义交给了数据库,不会出现注入问题;前者容易出现SQL注入之类的安全问题,所以mybatis推荐使用#。
web 安全测试
guanrongl的专栏
06-05 720
一、介绍web安全测试指对相关web程序的安全性服务以及安全方面的缺陷进行识别的过程;二、测试类型 安全测试主要包括以下几种: 1、认证与授权 2、Session 与 Cookie 3、DDOS拒绝服务攻击 4、文件上传漏洞 5、XSS跨站攻击 6、SQL注入 7、暴力破解三、认证与授权 认证:登录功能正常 ; 授权:每个用户拥有被授予的限定的权限
Web渗透测试(整个全流程).pdf
11-25
web渗透测试的整个流程详解,并带有各个工具推荐 真的非常的详细,可以带初学者快速入门,已经从事web渗透测试的也可以参考 内容:信息收集,漏洞扫描,渗透测试等里面详细的步骤 可以按照步骤一步步的操作,非常...
[完整][文][WEB安全测试].(美)霍普.扫描版.pdf
12-07
本书的秘诀演示了开发测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试...
美团点评2017秋招笔试真题-测试开发工程师卷A.pdf
08-30
美团点评2017秋招笔试真题-测试开发工程师卷A.pdf 本文档是一个测试开发工程师的笔试真题,涵盖了多个IT领域的知识点,包括计算机网络、操作系统、数据库、编程语言、缓存技术、Web开发等。 一、计算机网络 * ...
WEB安全测试.pdf
12-13
Web安全测试的秘诀演示了开发测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你...
WEB安全测试范畴
02-22
本规范的读者及使用对象主要为Web相关的测试人员、开发人员、专职的安全测试评估人员等。
Web安全漏洞扫描工具-AWVS14
07-05
AWVS14,Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。WVS可以检查SQL注入漏洞,也可以检查跨站脚本攻击漏洞,可以扫描任何...
web安全测试--基础篇
qq_64444051的博客
07-02 7781
web安全测试概念及常用工具
Web安全测试(一)-手工安全测试方法&修改建议
li_liu10的博客
02-03 1万+
本文主要简述了Web类网站常见安全性问题,罗列简单手工测试方法及相关解决方法,结合部分网络资料及实际项目处理方法,希望给大家提供一定养份
WEB安全测试要点总结
热门推荐
mathlpz126的博客
10-23 2万+
一、大类检查点: 大类 细项 上传功能 绕过文件上传检查功能 上传文件大小和次数限制 注册功能 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录功能
安全测试基础(Ⅰ) 安全测试概述
weixin_30924087的博客
10-23 1075
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一.安全测试原则与常见的安全威胁: 1.安全需求: ※认证:对认证的用户的请求返回 ※访问控制:对未认证的用户的权限控制和数据保护 ※完整性:用户必须准确的收到服务器发送的信息 ...
web安全测试概述
anquanniu的博客
08-24 7250
一、关于安全 1、安全问题的根源: 1)、分层思想,这个分层包括网络分层和软件分层等,分层可以将大的问题划分为不同的层次,层次与层次之间通过一定的接口标准进行信息交换,从而将一个大问题拆分开来由不同层次的模块去实现扩展。 · 从功能实现的角度看,分层是很方便高效的。 · 从系统安全的角度看,不同层次由不同的人去负责,每个人的眼光具有局限性,无法意识到其他层次的安全问题。 · 系统安全要保...
web站点安全性考虑的几方面 来源于网络
weixin_34253539的博客
10-20 240
随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险: 1.非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个...
网络安全Web安全、渗透测试笔试总结(一)
07-19
以下是我网络安全Web安全、渗透测试笔试总结题目,通过面试题目对网络安全常见的知识有大概了解,总共29道题 主要内容: 1.什么是 WebShell? 2.什么是网络钓鱼? 3.你获取网络安全知识途径有哪些? 4.什么是 CC 攻击? 5.Web 服务器被入侵后,怎样进行排查? 6.dll 文件是什么意思,有什么用?DLL 劫持原理 7.0day 漏洞 8.Rootkit 是什么意思 9.蜜罐 10.ssh 11.DDOS 12.震网病毒:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值