安全测试流程一点思考

最新推荐文章于 2024-04-27 16:53:03 发布
最新推荐文章于 2024-04-27 16:53:03 发布
阅读量1.5k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_22522367/article/details/83042577
版权

产品开发测试会以Feature形式介入,参与需求分析,开发设计,集成验证等各个阶段。

1. 测试设计阶段,根据需求文档做分析并设计用例场景,和需求开发交流测试场景,如证书初始化。

2. 参与开发澄清讨论,主要还是集中在需求及实现方面问题,确保各方对业务需求理解的一致性和合理性。另外砍不必要的如一些重复告警等功能,去掉不需实现功能。

3. 前端功能测试,不同模块组件的集成测试,单个功能点的验证。由于受需求拆分不合理及需求开发用户故事理解上偏差,业务场景未考虑到,如多次初始化证书,周期更新证书,需求另外增加来实现。测试参与晚,需求讨论没有充分,和敏捷开发测试不在同个团队有关。

4. 后端系统测试,端到端的系统设备集成验证,包括不同业务功能模块的间的集成测试,更加符合真实的用户场景。发现一些接口定义规范问题,如0,1,还有系统不同功能间需求或设计上问题较多,特别是软件架构设计上未考虑到安全与业务冲突场景,如路由和防火墙,CLI连接不支持安全退出因没有保活机制。安全意识在产品开发初期,对其它功能的开发和设计人员推广上增加安全业务的理解,落实到设计,开发和测试的不同阶段。

5. 安全测试,合规,漏洞,协议健壮性,可靠性。

 

系统设计者的任务就是要把系统设计为想要攻破系统而付出的代价大于攻破系统之后得到的信息的价值。

 

很多组织均使用自动化和人工安全测试,但要明确的是,自动化测试是扫描,而不是真正的渗透测试。两者都有价值,但人类找到了打破系统的方法,至少目前机器做不到。经验、创造力和好奇心是渗透测试的核心,通常在自动化结束时进行测试。

南乡子S
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最佳实践 — Dubbo 服务化进程的一点思考
12-22
同时,利用CI/CD工具(如Jenkins、GitLab CI/CD)自动化构建、测试和部署流程,提升开发效率。 10. **安全考虑** 对于涉及敏感信息的服务,要实施安全措施,如使用HTTPS通信、认证授权机制和数据加密,确保服务间...
安全测试-优秀测试工程师必备的4项安全测试方法!
weixin_34417814的博客
04-30 5341
用您5分钟时间阅读完,希望能对您有帮助! 一.安全测试 1、安全测试方法 测试手段可以进行安全测试,目前主要安全测试方法有:    1)静态的代码安全测试 主要通过对源代码进行安全扫描,根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞。 静态的源代码安全测试是非常有用的方法,它可以在编码阶段找出所...
软件安全(开发模型、需求分析、测试)总结
Hardworking666的博客
12-21 5266
文章目录一、软件安全开发模型二、软件安全需求分析三、软件安全测试 一、软件安全开发模型 软件生命周期由定义、开发和维护 3个时期组成。 三种软件安全开发模型特点比较: SDL系列 软件安全开发周期(Security Development Lifecycle)相关文档较为丰富。在投入大量的人力、物力进行研究和实践后,微软不断更新升级SDL版本,并通过专门网站和开发者社区对SDL进行推广。同时,SDL还有一个鲜明的特点,就是从需求分析阶段到测试阶段,都有较多的自动化工具支持它,如威胁建模、静态源代码分析等..
安全测试 —— 相关阶段及常规测试流程
最新发布
测试界的彭于晏的博客
04-27 438
安全测试是一种评估系统、应用程序或网络的安全性的过程,旨在发现其中的潜在漏洞、弱点和安全风险,以确保系统能够抵御各种安全威胁和攻击。安全测试的目的是确定软件系统的所有可能漏洞和弱点,从而帮助组织及早发现和修复系统中的安全漏洞,提高系统的安全性和可靠性。安全测试通常包括漏洞扫描、渗透测试安全配置审计、社会工程测试安全代码审查等方面。通过进行安全测试,组织可以保护其重要数据和资产免受未经授权的访问和损害,并遵守法规和合规要求。安全测试是软件开发过程中不可或缺的一部分,对于确保软件系统的安全性和可靠性具有重要
安全测试的方法
yyj173637的博客
04-08 586
1. 功能验证功能验证是采用软件测试中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块、权限管理模块、加密系统、认证系统等进行测试,主要是验证上述功能是否有效。2. 漏洞扫描安全漏洞扫描通常是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全防护中做到有的放矢,及时修补漏洞。漏洞扫描器分为两种类型:主机漏洞扫描器和网络漏洞扫描器。
2023不会安全测试的你看过来,一文5个步骤教你实现安全测试
04-26 589
大家好,我是一名测试开发工程师。 今天一起来学习下如何做安全测试。 什么是安全测试? 安全测试是一种软件测试类型,用于发现软件应用程序中的漏洞、威胁和风险,并防止来自入侵者的恶意攻击。安全测试的目的是查明软件系统中所有可能导致本公司员工或外部人员损失信息、收入和声誉的漏洞和薄弱地方。
安全测试方法
yingyingyueyue的博客
11-22 3482
测试cookie是否进行了安全性方面的设置。例如secure=true,防止cookie在HTTP会话中以明文传输;httponly=true,防止JS脚本读取cookie信息,防止XSS攻击。使用新版本有助于防止基于已知漏洞的XSS工具。安全中的权限问题主要包括未授权访问和越权两大类。
测试培训教材
04-01
1、测试流程管理、测试度量方法 按照尽早进行测试的原则,测试人员应该在需求阶段就介入,并贯穿软件开发的全过程。就测试过程本身而言,应该包含以s下几个阶段。  -测试需求的分析和确定。  -测试计划。  -...
软件工程课程心得.doc
07-02
总结这次软件工程课程的学习,我深刻体会到软件开发并非单纯的技术实现,而是一个系统化、流程化的工程过程,需要团队合作、需求把握、设计思考和文档支持等多个方面的协同工作。这对我今后的软件开发职业生涯将有着...
Demo:平时看书学习写的Demo
05-29
描述中提到的 "Demo" 更加证实了这一点,它通常代表了一个小型的、可运行的程序或功能模块,用于演示特定的技术或概念。 标签 "Java" 明确指出这个Demo是基于Java编程语言编写的。Java是一种广泛使用的面向对象的...
asp.net知识库
06-18
DbHelperV2 - Teddy的通用数据库访问组件设计和思考 也论该不该在项目中使用存储过程代替SQL语句 如何使数据库中的表更有弹性,更易于扩展 存储过程——天使还是魔鬼 如何获取MSSQLServer,Oracel,Access中的数据字典...
安全测试-优秀测试工程师必备的4项安全测试方法
hlsxjh的博客
06-20 1308
1、安全测试方法 测试手段可以进行安全测试,目前主要安全测试方法有:
系统安全测试要怎么做?
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-28 1786
进行系统安全测试时,可以按照以下详细的步骤进行: 1、信息收集和分析: 收集系统的相关信息,包括架构、部署环境、使用的框架和技术等。 分析系统的安全需求、威胁模型和安全策略等文档。
安全测试
shulei00的博客
05-27 4605
安全测试 文章目录前言1.Web安全测试1.基本安全测试2.认证测试3.会话管理测试4.权限管理测试5.文件和目录测试链接 前言 不做文字的搬运工,多做灵感性记录 这是平时学习总结的地方,用做知识库 平时看到其他文章的相关知识,也会增加到这里 随着学习深入,会进行知识拆分和汇总,所以文章会随时更新 参考的文章过多,所以参考会写不全,见谅 进行安全测试的,是需要专业的攻防技术的,这里只是做个基础了解,以后还看专攻方向 1.Web安全测试 1.基本安全测试 各种登陆模式的安全性验证、对口令各种要求的
安全测试
yyj173637的博客
04-19 201
软件安全测试包括程序、网络、数据库安全测试安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;③故意导致系统失败,企图趁恢复之机非法进入;④试图通过浏览非保密数据,推导所需信息,等等。理论上讲,只要有足够的时间和资源,没有不可进入的系统。因此系统安全设计的准则是,使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。
应用安全测试与分析能力指南
qq_18209847的博客
12-13 822
近几年来,开源组件导致的安全问题频发:2017年美国征信公司Equifax因未修复Apache Struts中的漏洞,导致大规模个人信息泄露;2020年SolarWinds被黑客入侵,直接导致其客户都受到攻击威胁;2021年Log4j漏洞曝出,引起全球企业忧心忡忡,而美国网络安全审查委员会更是认为该漏洞可能会影响十年之久。开源组件的问题引发了对软件供应链安全的关注热潮。软件供应链安全经常和开发安全相挂钩——这一定程度上是可以理解的,因为大量的企业会使用开源组件来开发自己环境中所需要的应用。
如何做安全测试
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
02-22 1166
发现,审计和攻击相互通信在站点中的任何漏洞,例如w3af中的发现插件寻找不同的url来测试漏洞,并将其转发给审计插件,然后使用这些url来搜索漏洞。安全测试是一种软件测试类型,用于发现软件应用程序中的漏洞、威胁和风险,并防止来自入侵者的恶意攻击。在这种类型的测试中,测试人员扮演攻击者的角色,在系统中寻找与安全相关的错误。安全测试的主要目标是识别系统中的威胁,并测量其潜在的漏洞,以便在遇到威胁时,系统不会停止工作或不会被利用。不像恶意黑客为了自己的利益而窃取,他们的目的是暴露系统中的安全漏洞。
常做常新:聊一聊我对系统安全测试的理解
software_test010的博客
12-14 392
开场白 我刚开始接触安全测试的时候,想的最多就说那种在昏暗的灯光下,带着神秘面具的黑客,对着键盘噼里啪啦一顿猛如虎的操作,然后长舒一口气,最后来了句yes,完美收工! 随后的职业生涯中,在同行的带领下开始了第一次安全测试之旅。当时大致的过程如下,选择一款安全扫描工具(Appscan),配置好要扫描的网站地址、登录信息等,点击开始扫描,two thousands years later… Appscan生成了一份非常详细的安全测试报告,然后我们对这份详细的报告里面的安全问题进行了一一验证,最后再提交给开发进.
网络安全渗透测试的八个步骤
Button12138的博客
02-14 7860
网络安全渗透测试必看
项目策划级自动化测试流程概述
06-13
"项目策划级自动化测试流程概述" 在IT行业中,项目策划级自动化测试流程是确保软件质量、提高效率的关键环节。这份文档详细介绍了这一流程,从名词解释到具体的实施步骤,为读者提供了全面的理解。 1. 名词解释: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值