如何让测试人员干安全的基础测试工作?

最新推荐文章于 2023-02-22 13:37:47 发布
最新推荐文章于 2023-02-22 13:37:47 发布
阅读量347 收藏
点赞数
分类专栏: 开发 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25834767/article/details/83576909
版权

我是一个不喜欢机械化的工作的人。比如渗透测试的一些基础工作挖XSS漏洞,一天两天还行,可要是每周若干项目上线而我们安全却要苦逼的频繁的给这些系统做安全渗透工作,有新奇的手法值得好好研究,不然我是非常不愿意的。没耐性。所有我更愿意做安全开发的工作,有一天领导说我们要把一些基础的安全测试工作交给测试同学去做,我们去做更有价值的事情,这个时候我觉得非常和我的思想相吻合。
我觉得这也是安全测试的一个主流方向,本事公司的安全投入就很少,要能对这些测试同学加以合作才能更好有更多的时间去做别的安全。
那么问题来了,如何让一个不懂安全的测试接受一个安全测试的内容呢。对方可以表面上接受,毕竟测试也有很多很多的工作要做,这就是我们安全需要考虑的问题了。准确的说是安全开发需要考虑的问题,我的第一个思路是使用开源的 https://github.com/219liangyi/SQLiScanner 让测试手动的将URL填入平台,然后平台傻瓜式的告诉对方是否存在漏洞。从而让测试不需要特别的懂安全也能干一些事情。不过缺点也很多,SQL注入可以检测,反射型的XSS也可以检测,存储型的XSS就是很大的痛点。
最近看到中通快递发表的一篇文章,https://mp.weixin.qq.com/s/n9N6Nkg_RYEvPM2WnlG45w
整体架构其实非常简单,一看就懂,这个思路是真的难得可贵。看到这里也想自己做一个出来。chrome 插件编写问题并不大,同时结合现在开源的另一款被动式安全扫描 https://github.com/219liangyi/GourdScanV2 也可以实现。
这个架构最大的优势还是让测试无感的就可以完成安全测试的基础工作,非常棒,也期待开源。先整理思路,回头开发。

yib0y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试-优秀测试工程师必备的4项安全测试方法!
yyj173637的博客
04-20 298
重点审查需求中对设计空间是否有明确定义,和需求牵涉到的数据是否都标识出了它的合法取值范围。在这个步骤中,最需要注意的是精确二字,要严格按照安全性原则来对设计空间做精确的定义。
测试】零基础测试一:测试工作总结
run_noob_vip的博客
03-10 494
基础测试一:试工作通常包含四个方面的测试:业务流程测试、页面字段测试、计算逻辑测试、报表逻辑测试
如何从0到1做一次完整的安全测试
weixin_44867191的博客
11-26 1万+
手把手教安全测试
如何做安全测试
最新发布
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
02-22 1215
发现,审计和攻击相互通信在站点中的任何漏洞,例如w3af中的发现插件寻找不同的url来测试漏洞,并将其转发给审计插件,然后使用这些url来搜索漏洞。安全测试是一种软件测试类型,用于发现软件应用程序中的漏洞、威胁和风险,并防止来自入侵者的恶意攻击。在这种类型的测试中,测试人员扮演攻击者的角色,在系统中寻找与安全相关的错误。安全测试的主要目标是识别系统中的威胁,并测量其潜在的漏洞,以便在遇到威胁时,系统不会停止工作或不会被利用。不像恶意黑客为了自己的利益而窃取,他们的目的是暴露系统中的安全漏洞。
为什么不推荐去做安全测试工程师?
热门推荐
每天学习一点,今后必成大神
12-25 2万+
对,你没看错。我不推荐大家去做安全测试工程师。 为什么不推荐大家去做安全测试? 今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用,很可能会给企业造成经济损失,带来负面声誉影响的同时,还可能被起诉遭到罚款等等,细思极恐。其中的一部分原因是企业本身安全意识不强,...
(三)安全测试基础安全测试的方法
gzytester的博客
03-08 4388
安全测试的方法 1. 功能验证 功能验证是采用软件测试中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块、权限管理模块、加密系统、认证系统等进行测试,主要是验证上述功能是否有效。 2. 漏洞扫描 安全漏洞扫描通常是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全防护中做到有的放矢,及时修补漏洞。 漏洞扫描器分为两种类型:主机漏洞扫描器和网络漏洞扫描...
入门安全测试必读指南
liwenxiang629的博客
11-02 514
近年来应用安全越来越受到企业的重视,安全测试的需求也随之激增。那么上手安全测试该了解哪些基础知识点呢?在这里我对常见的安全测试点进行了梳理,希望通过此文能够帮助大家普及安全测试中最常见的知识点!更希望此文能够起到抛砖引玉的作用,激发大家不断探索安全测试领域的热情! sql注入 威胁解读:Sql注入就是通过利用一些查询语句的漏洞,将sql语句传递到服务器解析并执行的一种攻击手段。当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括SQL、NoSQL、OS以及LDAP注入等。攻
测试工程师 安全测试要求:
angel192939的博客
02-27 234
转载于:https://www.cnblogs.com/ITniu/p/6476279.html
安全测试起航
个人博客
10-25 689
安全测试就是检查产品是否满足安全需求的过程。 众所周知软件测试分为四大类型,分别是:功能测试、自动化测试安全测试和性能测试,而安全测试是在功能测试 和自动化测试之后,性能测试之前执行的,以免安全测试后修改的一些问题会影响性能。 安全测试的内容通常包括 1.跳过权限验证 2.修改提交的请求信息等等 3.复杂一些的产品还要进行SQL注入, 4.跨站点脚本之类的测试, SQL注入 由
安全测试(非专业测试人员)
qq_38105572的博客
09-30 150
安全测试渗透测试二级目录三级目录 渗透测试 开坑后期补 二级目录 三级目录
小白入坑安全测试指南
weixin_47767605的博客
05-13 716
原创 AttackCTF 乌云白帽子 乌云白帽子 微信号:AttackCTF 作为小白该如何踏入 Web 安全这个坑呢?我的经历是,兴趣所在。我是野路子,全靠兴趣来自学。 目前Web 安全如果要讲入门,要求并不高,两三天就能入门,而我也仅在入门级别。本人有幸接触这个比较早,最初是在10年还是09年来接触到一份网 Web 渗透课,后沉迷于此。 玩的第一个靶机是 dedecms5.7 最新 sql 注射漏洞利用,当时并不懂什么技术性的东西。然后一直没怎么学过,学习资源有限也就停...
2015年十大黑客测试工具你认识几个?
wuxiaobingandbob的专栏
01-07 4676
http://diyitui.com/content-1452055433.37271288.html 来自:FreeBuf.COM关注黑客与极客(微信号:freebuf) 原文地址:concise-courses,FB小编FireFrank编译 链接:http://www.freebuf.com/tools/91462.html 如果你真的喜欢安全,了解下面这些工
CSS2020聚焦新基建 腾讯发布云原生安全体系 助力客户备战云上“主战场”
程序人生的博客
09-11 1711
9月11日,第六届 CSS互联网安全领袖峰会-产业专场正式在线上举行。本届CSS与腾讯全球数字生态大会合二为一,聚焦数字经济下的安全态势、云时代的安全新思维、生态协同技术演进与应用实践等重要命题。在大会上,腾讯安全正式对外发布腾讯云原生安全防护体系,围绕安全治理、数据安全、应用安全、计算安全和网络安全等层面,搭建完整的云上安全防护架构,助力客户应对数字时代的云上安全挑战。 腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生指出,安全是产业数字化的“底座”,每个单位都需要建立一套适用于数字时代的安全体系,以数据
测试人员如何保证业务安全性?
weixin_34004576的博客
04-23 282
业务安全:某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程,而业务安全就是保证这些流程按照预定的规则运行。下面先来看看常见的业务安全点(业务威胁)常见的业务安全点由于互联网企业的特性,其主要业务直接体现在其平台上。其中有不少通用的业务流程:账号体系A.注册B.登录C.密码找回D.用户信息存储其他业务安全 A.购买/支付B.优惠活动C.抢购活动D.…那么面对这些威胁,企业安全应该如何改进...
安全测试学习(一)常见安全漏洞
我的成长之路
02-11 4288
常见的安全测试类型 登录失败提示信息 需要模糊提示,如“用户名或密码错误”,不能精确提示 登录失败次数限制或验证码刷新 登录失败后需要自动刷新验证码;达到一定失败次数后需要限制登录 登入登出前后,session值需要发生变化 Chrome如何查看sessionID:高级设置–内容设置–Cookie 目录遍历 只输入系统IP,在后面添加…/…/,查看是否能回到上级目录 网址后面加上./WEB-I...
安全测试需要掌握的基础知识
天之角的博客
12-01 4768
1. HTTP协议基本概念  (1)介绍HTTP标示URL  (2)HTTP响应状态码  (3)HTTP协议传输内容 (4)HTTP协议请求传输过程(三次握手,四次挥手等) 2. WEB应用认证基本概念  (1)HTTP常见认证机制  (2)BASE64编码介绍  3. B/S架构常见安全问题  (1)拒绝服务攻击基础  (2)Smurf攻击模型  (3)Fraggle攻击模型  (4)SynFl...
适用所有公司的安全测试用例
lolo_zhu的博客
05-17 1130
现在对测试的人员要求越来越高,纯手工测试即功能测试已经不满足企业的需求,测试需要了解更多的技术领域,比如安全,作为一个非专业安全测试人员,如何进行安全测试呢? 特整理出功能测试同学可以发现的安全问题,如下: ...
安全测试怎么入门?
xuezhangmen的博客
10-20 369
安全测试作为一门越来越受关注的测试技术,至少近年来我的体会是更多的人加入安全测试领域,原因?需求量越来越大,人才缺口却越来越明显。 随着互联网的发展,安全问题也显得越来越重要。一个大型的互联网站点,如果你每天查看日志,都会有很多尝试攻击性的脚本,如果你的网站没有?好吧,那只能证明你的网站影响力还不够大。 实际上,很多所谓的安全测试工程师仅仅停留在使用一些自动化审计工具来检测系统,并对工具检测出来的bug进行梳理,然后把它提给开发人员。这样好不好? 我经常跟一些同行朋友说,安全测试的核心在什么,在于指导开发人
安全测试岗位的工作流程是什么样的?
ysxjy2020的博客
10-18 160
开发工作流程中的安全测试 SDLC开发阶段的安全测试代表了开发人员第一次有机会确保他们开发的各个软件组件在与其他组件集成并内置到应用程序之前进行了安全测试。软件组件可能包含软件工件,如函数,方法和类,以及应用程序编程接口,库和可执行文件。对于安全测试,开发人员可以依靠源代码分析的结果来静态验证开发的源代码不包含潜在的漏洞并且符合安全编码标准。安全单元测试可以进一步动态地(即,在运行时)验证组件按预期运行。 在应用程序构建中集成之前验证源代码通常是高级开发人员的责任。这些高级开发人员也是软件安全方面
网络安全渗透测试:EXPLOITS开发基础
EXPLOIT开发是渗透测试的重要组成部分,可以帮助安全专业人员检测和exploit漏洞,评估系统或应用程序的安全性。 本书提供了EXPLOIT开发的基础知识和实践经验,为读者提供了学习EXPLOIT开发的机会,并应用于实际的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值