Web安全测试流程详解

已于 2024-01-22 07:43:50 修改
阅读量312 收藏
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: web安全 安全
于 2023-11-08 16:45:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/134241945
版权

web安全测试业务主要围绕流程、标准、规范三个方面展开,其中流程是核心,标准和规范在流程运作中落地与执行。

当需要测试的web应用数以千计,就有必要建立一套完整的安全测试流程,流程的最高目标是要保证交付给客户的安全测试服务质量。

  • 立项:项目建立,时间安排,人力分配,目标制定,厂商接口人确定;
  • 系统分析&威胁分析:针对具体的web应用,分析系统架构、使用的组件、对外提供的接口等,以STRIDE为威胁模型进行对应的安全威胁分析,输出安全威胁分析表,重点关注top3威胁;
  • 制定测试用例:根据威胁分析的结果制定对应的测试用例,测试用例按照模板输出,具备可执行性;
  • 测试执行&漏洞挖掘:测试用例执行&发散测试,挖掘对应的安全问题or漏洞;
  • 问题修复&回归测试:指导客户应用开发方修复安全问题or漏洞,并进行回归测试,确保安全问题or漏洞得到修复,并且没有引入新的安全问题;
  • 项目总结评审:项目过程总结,输出文档评审,相关文档归档。

1、立项</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Web漏洞解析与攻防实战》抽奖赠书
离别歌
04-15 878
相信大部分人也知道了,最近我作为作者之一的新书《Web漏洞解析与攻防实战》出版了:这本书其实是王放和大家2019年在长亭时候就牵头做的一个事情了,虽然放师傅后来离开了长亭,但他仍然在坚持完成编写,推动图书的出版,最终让《Web漏洞解析与攻防实战》在2023年能与大家见面。说来惭愧,我在其中的贡献不算太多,但很高兴的是我们成功让Vulhub作为了本书实战案例演示的平台。大部分章节后面都配有至少一个V...
web安全测试概述
anquanniu的博客
08-24 7275
一、关于安全 1、安全问题的根源: 1)、分层思想,这个分层包括网络分层和软件分层等,分层可以将大的问题划分为不同的层次,层次与层次之间通过一定的接口标准进行信息交换,从而将一个大问题拆分开来由不同层次的模块去实现扩展。 · 从功能实现的角度看,分层是很方便高效的。 · 从系统安全的角度看,不同层次由不同的人去负责,每个人的眼光具有局限性,无法意识到其他层次的安全问题。 · 系统安全要保...
【共读】Web渗透攻防实战(一)
ghwzjz的博客
10-29 3220
第1章漏洞扫描必备基础知识: 漏洞扫描是网络渗透中比较关键的一个环节,用于发现目标服务器存在的漏洞,下面来介绍下漏洞扫描及分析的一下基本概念。 1.1漏洞扫描利用及分享概览: 网络攻防对抗中,通过漏洞扫描来获取,目录架构、已知漏洞等信息,通过已知漏洞对目标进行渗透测试,结合个人经验,极有可能拿下后台管理权限。所以说漏洞扫描利用及分析是攻防对抗中非常关键的技术。掌握这些技术可以快速提高自身渗透水平。 1.1.1信息收集: 1.基本信息收集: 基本信息收集主要真的目标进行各种信息收集,收集越..
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 1万+
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
常见web漏洞原理,危害,防御方法_常见web漏洞原理及危害和防御方法
Karka_的博客
06-08 503
web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
web安全攻防实战》——文件上传漏洞之基础篇
fairy1016的博客
09-14 1055
漏洞原理:Webshell webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限。 webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。 关键函数:以php为例,eval(),执行用户输入的函数。 登录本地的容器账户后,选择未经严格审计的文件上传功能 安全级别选择low,是一个比较低的安全级别,点击 hack。 编辑木马文件并
web安全测试服务开展流程简介
ilnature2008的博客
01-05 7117
1、web安全测试简介 web安全测试业务主要围绕流程、标准、规范三个方面展开,其中流程是核心,标准和规范在流程运作中落地与执行。 2、web安全测试流程概要设计
Web安全测试
01-11
### Web安全测试知识点详解 #### 一、Web安全测试概述 Web安全测试是评估Web应用程序安全性的一种方法,它通过对Web应用进行系统性检测,找出可能存在的安全漏洞,并提供相应的修复建议,以保护Web应用免受攻击。...
Web Jmeter–接口测试工具详解
10-21
通过以上步骤,你已经掌握了基本的Web Jmeter接口测试流程。不过,Jmeter的功能远不止于此,它还支持自定义断言、定时器、聚合报告等多种高级特性,可用于更复杂的性能测试和接口测试场景。为了深入了解Jmeter,建议...
2024三掌柜赠书活动第十期:Web漏洞解析与攻防实战
软贱开发攻城狮
02-21 1万+
我们通过了解不同类型的Web漏洞、实施安全评估和修复、模拟攻击等措施,可以加固系统的安全性,保护用户的个人信息和敏感数据,还有就是持续关注最新的漏洞和安全威胁也是非常重要的,以便及时采取措施应对新的攻击方式。本书共11章,分别为Web安全概述、计算机网络基础知识、测试工具与靶场环境搭建、传统后端漏洞(上、下)、前端漏洞(上、下)、新后端漏洞(上、下)、逻辑漏洞(上、下),每章以不同的漏洞类型为小节内容,尽可能涵盖已发现和公开的所有重大Web安全漏洞类型。同时,定期进行安全更新和漏洞扫描也是非常重要的。
渗透测试流程——渗透测试的9个步骤(转)
热门推荐
橘子女侠
05-09 2万+
渗透测试的流程: 1.明确目标 2.分析风险,获得授权 3.信息收集 4.漏洞探测(手动&自动) 5.漏洞验证 6.信息分析 7.利用漏洞,获取数据 8.信息整理 9.形成报告 1.明确目标 1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块; 2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权... 目标系统介绍、重...
web平台安全测试方案
PengDQ12的博客
07-27 6450
收集测试的资料平台网页的URL,用户名以及密码(最好不是超级用户,可以测试越权),Web服务器的IP(可以提供服务器的远程登录账号,以便观察测试过程中对服务器的性能影响)。需要告知开发此次测试的时间,沟通好后才能进行安全测试,并且将测试的范围,方法和相关风险提前告知,及时做好相关数据代码、环境的备份。可以选择自定义,点击”完全扫描配置“可手动修改/自定义你的测试策略,自定义后,点击应用和确定,然后点击下一步。点击“报告”按钮,选择报告模板、报告内容、布局等内容(按照需求选择),点击“保存报告”按钮,...
Web安全渗透测试基本流程
Everly_的博客
02-07 1511
在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等。内容:系统漏洞:系统没有及时打补丁Websever漏洞:Websever配置问题Web应用漏洞:Web应用开发问题其它端口服务漏洞:各种21/8080(st2)/7001/22/3389通信安全:明文传输,token在cookie中传送等。业务逻辑漏洞(针对业务的)?1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块。
黑客带你上手web安全攻防、三种漏洞【XSS,CSRF和文件上传】彻底掌握常见web安全漏洞
jennycisp的博客
06-27 1274
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。但是,在处理外部实体时,可以针对应用程序启动许多攻击。这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。
Web安全攻防_渗透测试实战指南
wangluoanquan111的博客
09-24 366
第1章 渗透测试之信息收集1.1收集域名信息1.1.1Whois查询1.1.2备案信息查询1.2收集敏感信息1.3收集子域名信息1.4收集常用端口信息1.5指纹识别1.6查找真实IP1.7收集敏感目录文件1.8社会工程学。
网络安全相关竞赛比赛
最新发布
黑战士的博客
07-18 1013
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
Web应用安全测试规范详解
"该文档是关于WEB安全测试的规范,主要针对Web相关的测试人员、开发人员和安全评估人员,旨在提供一套Web应用安全测试的标准。文档遵循了《Web应用安全开发规范》并参考了国际标准如OWASP Testing Guide v3,以确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值