从0到1创建属于你的安全测试体系
1.安全测试的意义:
进行安全测试,可以提前预估软件安全存在的风险,未公司排除安全漏洞,减少因安全漏洞造成公司的损失,安全测试是软件测试中重要的一环,需要我们长期关注。
2.如何开展安全测试:
开展安全测试首先我们要有个成熟的安全测试体系,按照安全测试体系逐一的进行安全测试,熟悉常用的安全测试工具–>熟悉常见的安全测试漏洞–>编写安全测试模板–>编写安全测试用例–>安全测试用例评审–>安全测试执行–>出具安全测试报告。
3.从0到1打造安全测试
(1)首先使用安全测试工具进行扫描
常用的扫描工具:ZAP,AppScan,Acunetix,BurpSuite
** (2)验证常见的安全测试漏洞**
SQL注入,XSS漏洞,越权,数据脱敏,未授权访问,弱密码,验证码,上传,下载,中间件漏洞,信息泄露,锁定策略,URL任意访问
等。
(3)根据系统业务情况校验安全漏洞
验证码,手机号注册,用户权限,密码强度,认证提示语,锁定策略
,金额数据是否可以进行修改
(4)测试报告
测试报告内容包括:安全测试缺陷等级,安全测试缺陷严重程度,安全缺陷描述,安全缺陷修复建议
4. 结束语
安全是质量保障不可或缺的一环,作为测试人员,我们可以从0到1开始去打造我们的安全测试体系,与其他测试类型一样将安全的思想贯穿在整个软件研发生命周期,做好安全测试质量把控,增强测试质量。