安全测试

最新推荐文章于 2024-04-19 11:30:00 发布
最新推荐文章于 2024-04-19 11:30:00 发布
阅读量4.6k 收藏 165
点赞数 13
分类专栏: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shulei00/article/details/106389172
版权

安全测试

文章目录

前言

  1. 不做文字的搬运工,多做灵感性记录
  2. 这是平时学习总结的地方,用做知识库
  3. 平时看到其他文章的相关知识,也会增加到这里
  4. 随着学习深入,会进行知识拆分和汇总,所以文章会随时更新
  5. 参考的文章过多,所以参考会写不全,见谅

进行安全测试的,是需要专业的攻防技术的,这里只是做个基础了解,以后还看专攻方向

1.Web安全测试

1.基本安全测试

  • 各种登陆模式的安全性验证、对口令各种要求的测试

  • 用户权限(如更能限制、数据访问限制等)的验证

  • cookies 和 Session 的有效期验证等多种机制的验证

  • 敏感数据加密、数据存储安全性的验证

  • 验证系统的日志文件是否得到保护

  • 测试软件不会因在异常条件下错误而导致不安全状态

  • 其他安全漏洞的检查,如WSDigger扫描

    • get方式在URL后输入如name=<script>alter(123456)</script>,若弹出告警框,说明存在跨站漏洞;查看源文件中若包含完整的字符串<script>alter(123456)</script>,则不管有没有弹出告警框,都表明存在跨站点脚本漏洞

    • post 方式在表单的文件框中输入<script>alter(123456)</script>,若弹出警告或者查看源代码中存在输入的字符串则存在漏洞

    • SQL注入

      sql='select yhm,mm 
	 from  users
	 where username=' 
如用户名中输入admin'--后,不输入密码也能登录

2.认证测试

  • 登录页面是否存在验证码,不存在说明存在漏洞
  • 验证码和用户名、密码是否一次性、同时提交给服务器验证,如果分开提交,则存在漏洞
  • 在服务器端,只有在验证码校验通过以后才能进行用户和密码的检验,否则出现漏洞
  • 验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞
  • 请求10次观察验证码是否随机生成,如果存在一定的规律(如:5次后出现同一验证码)说明存在漏洞
  • 观察验证码图片中背景是否存在无规律的点或线条,如果背景色为纯色(如:只存在白色)说明有loud
  • 服务器不能对认证错误信息提示准确的信息,如用户名错误、密码错误等
  • 提供合理的锁定策略
  • 预防认证被绕过,如:sql注入

3.会话管理测试

  • 用户登录后,身份信息不再由客户端提交,而不是以服务器会话信息中保存的身份信息为准
  • URL中不能携带SessionID信息
  • 登陆后的页面有明确的“退出”或“注销”按钮,注销时会话信息要清除

4.权限管理测试

  • 横向越权:攻击者尝试访问其他拥有相同权限的用户资源
  • 纵向越权:一个低级别攻击者尝试访问高级别用户的资源

5.文件和目录测试

  • 不存在不需要对外开放的敏感接口或者接口进行了完善的权限控制
  • 禁止获取敏感目录或者文件信息
  • 所有对目录的访问均不能打印处文件列表
  • 禁止访问和下载文档的备份
  • 不能越权获取到不该获取的文件
  • 如DirBuster

链接

知识目录

shulei00
关注
  • 13
    点赞
  • 165
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全性测试之XSS攻击
qq_32501663的博客
05-14 1345
安全性测试之XSS攻击 名称 攻击方式 对应策略 危害 反射型 XSS (非持久型) 将XSS代码放在URL中,将参数提交到服务器。服务器解析后响应,在响应结果中存在XSS代码,最终通过浏览器解析执行。 1、数据不直接存入服务器,进行数据处理(加密、解密) 2、对重要的cookie设置httpOnly, 防...
安全测试的几种方法
VN520的博客
04-19 1146
安全渗透测试:由专业安全人员模拟黑客,从其可能存在的位置对系统进行攻击测试,在真正的黑客入侵前找到隐藏的安全漏洞,从而达到保护系统安全的目的1、有针对性的测试:开灯测试。测试人员完全了解系统内部情况下开展的测试2、外部测试3、内部测试4、盲测5、双盲测试1、规划和侦察2、安全扫描:静态分析和动态分析3、获取访问权限:测试人员模拟黑客对应用程序进行攻击4、维持访问权限:查看被发现的漏洞是否可以长期存在于系统中5、入侵分析:将测试结果汇总成测试报告。
安全测试用例汇总
最新发布
qq_44005305的博客
04-19 1242
是一种合法且授权定位计算机系统,并对其成功实施漏洞攻击的方法,其目是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同,如果遵循相同的原则,去证明软件的安全性,将有利于软件安全测试的工作规范的进行,有利于软件安全测试工作的发展。渗透测试也称为黑客活动、道德黑客、白帽黑客。安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;
安全测试培训教程
09-10
安全测试培训教程,WEB安全测试,APP安全测试安全测试扫描工具
不知道如何测试?全网最全网络安全渗透测试流程给你答案!
2201_75735270的博客
10-16 1842
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
安全测试笔记及实战
喵酱
09-13 426
最近一直在研究安全测试,感觉自己还没有入门。不敢说是入门教程,本篇就是本人单纯的一个笔记而已。 (心虚,来个图镇楼) 简单说下一般的漏洞 Web应用漏洞: 1、SQL注入 2、XSS跨站脚本(存储+反射) 3、命令注入 业务逻辑漏洞:    1、支付漏洞 2、越权漏洞(垂直+水平)  1.SQL注入: 1.1SQL注入概述 SQL注入是这样一种漏洞:应用程序在向后台数据...
安全测试:BurpSuite 学习使用教程
热门推荐
heshushun的博客
09-26 11万+
一、简介: Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试
安全测试报告.docx
07-23
源代码,程序安全测试报告模板
IOS安全测试工具
05-07
IOS安全测试工具、
WEB安全测试点报告.xlsx
07-09
WEB安全测试点报告,辅助做好系统安全测试
AppScan安全测试总结.docx
06-30
AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入...
web安全性测试Fiddler使用教程
12-10
Fiddler使用教程,web安全性测试利器,简要实用,看完就知道怎么用Fiddler
安全测试与渗透测试区别
03-23
安全测试与渗透测试区别.安全测试不同于渗透测试,渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自...
如何进行安全性测试?
yyj173637的博客
04-08 1163
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中做到“有的放矢”,及时修补漏洞。
安全测试-优秀测试工程师必备的4项安全测试方法!
yyj173637的博客
04-20 295
重点审查需求中对设计空间是否有明确定义,和需求牵涉到的数据是否都标识出了它的合法取值范围。在这个步骤中,最需要注意的是精确二字,要严格按照安全性原则来对设计空间做精确的定义。
最全的测试用例
苍天在上
06-09 1771
一、文本框为字符型 必填项非空校验:       1、必填项未输入--程序应提示错误;       2、必填项只输入若干个空格,未输入其它字符--程序应提示错误; 字段唯一性校验:(不是所有字段都作此项校验,视实际项目情况而定)  1、新增时输入重复的字段值--必须提示友好信息;    2、修改时输入重复的字段值--必须提示友好信息;  字段长度校验:    输入[最小
安全测试初学体验
weixin_53622455的博客
07-19 1139
alert(`xss`)
菜鸟浅谈——web安全测试
u010559128的博客
02-27 5万+
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值