服务端安全测试体系概括

已于 2022-10-23 16:33:33 修改
阅读量1.2k 收藏 1
点赞数
文章标签: 安全性测试
于 2022-10-22 20:19:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36792120/article/details/127466455
版权

服务端安全测试体系概括

一、引言

  • 这里是用户视角的购物流程,我们会使用各种测试数据,模拟各种流程,完成服务端的功能测试,完成功能覆盖,我们会用等价类,边界值,判定表完成对功能的覆盖。
    在这里插入图片描述
  • 这个是黑客视角的购物流程,他们关注的除了基础功能,还关注比如说使用app的时候,app需要依赖的内容,比如说手机号,他们可以通过修改app分支,绕过账号安全验证,进行一些操作,比如更改充值金额为负数。他们通过对核心资源的篡改,带来安全问题,比如撸羊毛导致企业资产减少,影响企业的商业价值
    在这里插入图片描述
    在这里插入图片描述

二、安全漏洞TOP10

  • OWASP总结的服务端安全漏洞Top10
    在这里插入图片描述
  • OWASP总结的移动端安全漏洞Top10
    在这里插入图片描述

三、OWASP解决方案的问题

  • 所有的做法都是面向安全工程师,而非测试工程师
  • 提供的解决方案无法在有限的项目周期内完成
  • 测试工程师做安全测试的时候通常只执行它的子项目,有一些比较弱的或者不重要的剥离开,只关注严重的问题,通过自动化的方式去解决它,非自动化的方案测试工程师也没有办法完成执行,会有第三方安全工程师去做

四、测试工程师的安全测试体系

  • 我们将主要聚焦于测试工程师需要掌握的安全技能
    • 移动端安全:尽最大努力提高破解难度,无法100%完成移动端安全问题
    • 服务端安全:主要关注,毕竟服务端在公司内部,被渗透影响会非常严重

五、常用的安全测试工具

  1. 开源:owasp zap 全能 sqlmap
  2. 付费:appscan,wvs,burpsuite

六、安全测试关注维度

  1. 传输:敏感信息加密,链路加密
  2. 接口:访问权限控制(安全工具扫描过程很难进行判断,比如手机号个人信息查询是否对外,需要人为进行审核)
  3. 参数:
    • 注入:sql注入,命令注入,文件注入
    • 越权:越过更高权限,越过同级权限

七、业务安全常见的checklist

  1. 业务数据传输链路分析
    ① http是否传输敏感信息
    ② tcp等协议是否可被解密

  2. 资产安全分析
    ① a 清单收集:明确敏感信息分级,可访问性验证
    ① api参数收集:明确参数分类并针对分析

    • token可遍历
    • 文件上传
    • 身份参数的有效性验证

有了这些检查点,我们再把它提到安全测试工具里面进行自动化扫描

八、建立安全测试流程

  1. 白盒代码分析:自动化
  • sonar、findbugs等
  1. 黑盒扫描机制:自动化
  • zap、wvs,burpsuite,appscan,sqlmap
  1. 业务流程安全探索:结合人工进行检测
  • burpsuite、zap
好多可乐
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试简述
Coast的博客
10-04 453
安全测试
超全的安全测试汇总
weixin_44602565的博客
03-10 1万+
1.安全测试在做什么? 扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。 2.安全测试者是怎样定位自己的? 我们经常可以从身边的朋友口中听到一些有关安全的名称,向
服务端安全测试用例设计
最新发布
软件测试小dao
04-19 743
服务端安全测试用例设计,涵盖检查项解读、检查点、工具推荐、测试方法、预期结果或建议。
服务端安全性测试
weixin_33860722的博客
10-18 749
1、sql注入 通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(1)利用sql中的and和or的逻辑关系,绕过漏洞。如:输入书名{title},查询用户信息的sql。如果输入 天龙八部' or '1' = '1,那么sql如下: select * from table_nam...
常做常新:聊一聊我对系统安全测试的理解
software_test010的博客
12-14 403
开场白 我刚开始接触安全测试的时候,想的最多就说那种在昏暗的灯光下,带着神秘面具的黑客,对着键盘噼里啪啦一顿猛如虎的操作,然后长舒一口气,最后来了句yes,完美收工! 随后的职业生涯中,在同行的带领下开始了第一次安全测试之旅。当时大致的过程如下,选择一款安全扫描工具(Appscan),配置好要扫描的网站地址、登录信息等,点击开始扫描,two thousands years later… Appscan生成了一份非常详细的安全测试报告,然后我们对这份详细的报告里面的安全问题进行了一一验证,最后再提交给开发进.
ONVIF 服务端测试C代码
04-21
在“ONVIF服务端测试C代码”中,我们可能会涉及到以下几个关键知识点: 1. **ONVIF协议**: ONVIF协议主要包含三部分:设备管理、媒体服务和事件服务。设备管理允许设备被发现、注册和配置;媒体服务处理视频流和...
TCP服务端测试
01-11
本篇将详细探讨如何进行TCP服务端测试,以及QT库在实现这一过程中的作用。 TCP是一种面向连接的、可靠的传输层协议,它确保了数据在发送到目的地之前能够正确地排序和无差错地传输。在服务端测试TCP时,我们需要...
服务端业务测试高效测试之路
10-23
服务端业务测试高效测试之路】是一场在2020年全球软件质量&效能大会(QECon)上的专题报告,由董十月分享。报告主要关注如何提升服务端业务测试的效率,通过引入人工智能(AI)和自动化测试策略,推动测试流程的...
mqtt服务端测试程序
10-30
同时,测试可能包括性能测试(如并发连接数、消息处理速率)、稳定性测试(长时间运行、异常情况处理)以及安全性测试(身份验证、加密传输等)。理解并熟练使用MQTT服务端测试程序,有助于确保物联网设备间通信的...
如何对APP服务端进行压力测试
02-24
APP性能测试分为客户端性能测试服务端性能测试,客户端的性能测试主要是针对启动快慢、耗电量、耗流量、内存使用等指标进行评估,目前主流的APP客户端性能测试工具有腾讯GT、testin、听云、AppsTest等等。...
软件安全测试体系测试服务方案
11-15
软件安全测试体系测试服务方案。。。。。。。。。。。
从0到1创建属于你的安全测试体系
qq_38484679的博客
08-02 405
从0到1创建属于你的安全测试体系 1.安全测试的意义: 进行安全测试,可以提前预估软件安全存在的风险,未公司排除安全漏洞,减少因安全漏洞造成公司的损失,安全测试是软件测试中重要的一环,需要我们长期关注。 2.如何开展安全测试: 开展安全测试首先我们要有个成熟的安全测试体系,按照安全测试体系逐一的进行安全测试,熟悉常用的安全测试工具–>熟悉常见的安全测试漏洞–>编写安全测试模板–>编写安全测试用例–>安全测试用例评审–>安全测试执行–>出具安全测试报告。 3.从0到1打造
安全测试体系
JennyXi2001的博客
03-29 533
安全测试就是发现软件安全漏洞的过程,旨在保护软件系统的数据与功能。
浅谈web安全测试
Smonk小僧の静思小庙
04-01 1478
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
安全基础--22--安全测试
武天旭的博客
10-04 3万+
一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在了解现状和基本需求的情况下,定义业务系统的基础安全配置要求,配置要求内容和具体产品相关 业务安全配置评估 辨析不同业务系统的安全需求,在已形成的基础安全配置评估上...
Web应用安全测试
aojie80的专栏
02-15 7939
缩略语清单 缩略语 全称 CRLF \r\n回车换行 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 MML man-machine language 人机交互语言
web安全测试服务开展流程简介
ilnature2008的博客
01-05 7126
1、web安全测试简介 web安全测试业务主要围绕流程、标准、规范三个方面展开,其中流程是核心,标准和规范在流程运作中落地与执行。 2、web安全测试流程概要设计
菜鸟浅谈——web安全测试
热门推荐
u010559128的博客
02-27 5万+
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例
Benjamin CSDN博客
12-27 4911
安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例 ​二、服务器安全 高危端口 2.1 端口号(Port number) 2.2 常见端口后及其用途表 2.3 端口号 扫描工具介绍 2.4 端口号 端口说明 攻击技巧 2.5 安全警示 三、服务器安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值