安全测试简述/安全审计工具
是看着课程听的,做的课程的随堂笔记
课程的链接如下:
https://coding.imooc.com/class/411.html
安全测试占比例比较少,一般在专业型公司或者和钱打交道的app,
Web安全测试介绍
Web应用的概念
◆Web应用是由动态脚本、编译过的代码等组合而成。
◆它通常架设在Web服务器上,用户在Web浏览器上发送请求。这些请求使用HTTP协议,由Web应用和企业后台的数据库及其他动态内容通信。
web应用三层架构
一般安全测试在中间层,尤其是web层到应用层的传输,是最容易发生安全问题的
日常网络行为与安全时时相关
◆为什么我们登录的时候经常要求我们输入一个验证码?
防止通过脚本的方式来暴力破解用户名和密码,毕竟验证码你是无法提前获知的。
◆在一个网站上长时间没有操作,为什么会session失效?
属于后验证测试,害怕用户的程序电脑被黑客攻击,所以当用户一定时间没操作,就要退掉,用户要操作就得重新操作。
◆为什么支付宝之类的支付接口都是https?
因为http在传输过程中是加密处理,但是你的系统仍然是不安全的,仍然需要相应的安全测试。
安全模型
因为由于拥堵,乘客可能被挤下地铁或者把别人挤下地铁,或者发生踩踏事故
地铁增开
多开几个站口
地铁改造:一层改成两层
限流(限号进站之类)
试运行,看看开x号线有没有去坐的人过于多
从WASC和OWASP谈漏洞分类
WASC
◆Web Application Security Consortium
◆是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体(公益性组织)。他们负责为WWW制定被广为接受的应用安全标准。