系统安全测试方案

最新推荐文章于 2024-05-24 14:22:20 发布
最新推荐文章于 2024-05-24 14:22:20 发布
阅读量1.8k 收藏 9
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tchtest/article/details/118700566
版权

安全 linux

测试目标

发现系统存在的安全隐患

发现系统设计缺陷:权限控制,数据加密,数据导出等。

测试范围

测试的系统:

  • 1
  • 2
  • 3

测试内容

系统设计方案review,开放性测试(adhoc)

安全扫描:扫描工具-kali

  • web服务器安全漏洞
  • web服务器错误配置
  • SQL注入
  • XSS(跨站脚本攻击)
  • CRLF注入
  • 目录遍历
  • 权限认证
  • 字典遍历

常见场景(持续补充):

1、仅前端控制权限,后端无限制

      exa. 当前登录用户的session,请求权限内的资源ok,更改leads为未关注,是否显示

      如果为传employee_id 的接口,传和当前登录账号不一样的账号,是否显示数据

2、是否有反爬虫机制

     访问次数限制,访问受限资源,黑名单(IP,用户)

3、敏感数据是否加密

4、接需求的时候,考虑安全,性能风险

5、不连VPN(数据库),内网(in)可以访问--暴露在公网,伪造信息

6、数据库备份,主从备份,数据的明文存储(用户名,密码,身份证号,手机号)

测试执行

人员:

时间:

扫描工具:原则上扫描工具必须下班后执行。

风险规避

可能会对线上系统造成的影响

运维备案:

系统备份:

应急方案:

TCH Test
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件安全测试体系和测试服务方案
11-15
软件安全测试体系和测试服务方案。。。。。。。。。。。
安全测试实施方案及用例.docx
02-24
安全测试方案及用例模版参考,如下为部分目录结构: 目 录 1 第一章 引用 1 1.1 编制目的 1 1.2 适用范围 1 1.3 规范性引用资料 1 1.1.1 管理制度 1 1.1.2 技术标准 1 1.1.3 作业标准 2 1.2 编制约束 2 1.2.1 图元约束 2 1.2.2 编码约束 2 1.2.3 格式约束 5 1.4 导读说明 5 第二章 总体方案 7 2.1 测试原则 7 2.2 测试范围 7 2.3 测试策略 7 第三章 测试资源及部署方式 10 3.1 测试环境 10 3.2 人力资源 11 3.3 测试工具 11 3.4 测试环境部署 11
安全测试解决方案
09-24 238
安全测试解决方案https://www.alltesting.cn/testservice/anqcsplan.html 问题和背景 在网络时代,几乎所有的软件都运行在网络上,因此很容易出现各种通过网络访问的安全问题。通过安全漏洞,能够获取、修改系统的数据,给系统造成巨大的问题。 甲方缺乏必要的安全测试技术、工具,使得应用系统安全岌岌可危。 安全测试的内容 测试方法:应用系统测试 使用各种安全工具进行抓包、来进行渗透攻击 使用安全工具进行自动化扫描,发现系统漏洞 使用安全工具,通过手工测
web平台安全测试方案
PengDQ12的博客
07-27 6479
收集测试的资料平台网页的URL,用户名以及密码(最好不是超级用户,可以测试越权),Web服务器的IP(可以提供服务器的远程登录账号,以便观察测试过程中对服务器的性能影响)。需要告知开发此次测试的时间,沟通好后才能进行安全测试,并且将测试的范围,方法和相关风险提前告知,及时做好相关数据代码、环境的备份。可以选择自定义,点击”完全扫描配置“可手动修改/自定义你的测试策略,自定义后,点击应用和确定,然后点击下一步。点击“报告”按钮,选择报告模板、报告内容、布局等内容(按照需求选择),点击“保存报告”按钮,...
软件测试:安全测试常见测试方法
最新发布
OKCRoss的博客
05-24 1950
如常见的bd和mm程序经常以.exe文件的形式存在,对于一些恶意软件的可执行文件,如果不进行限制,就可能在用户不知情的情况下被上传和执行,进而造成系统被gj、数据泄漏等严重后果。通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。
web安全性测试用例
weixin_33924220的博客
05-12 2462
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*()...
计算机系统安全性测试方案,安全计算机板级测试系统方案设计
weixin_31894867的博客
07-17 386
实现安全计算机的板级测试主要是针对FTSM进行。逻辑板、输入输出板和通信板电路复杂,宜采用计算机全自动测试。而安全电源板、3U组件、继电器组件、AC 220 V-DC 12 V电源组件相对简单,且需要测试电压、电流、指示灯是否点亮、亮度是否一致等指标,宜采用人工参与的计算机辅助半自动测试。本文引用地址:http://www.eepw.com.cn/article/193937.htm1.1 系统总...
WEB安全测试通常要考虑的测试点
WYZSC的专栏
12-02 1067
WEB安全测试通常要考虑的测试点,http://www.btestingsky.com/view/1656.html
常做常新:聊一聊我对系统安全测试的理解
software_test010的博客
12-14 399
开场白 我刚开始接触安全测试的时候,想的最多就说那种在昏暗的灯光下,带着神秘面具的黑客,对着键盘噼里啪啦一顿猛如虎的操作,然后长舒一口气,最后来了句yes,完美收工! 随后的职业生涯中,在同行的带领下开始了第一次安全测试之旅。当时大致的过程如下,选择一款安全扫描工具(Appscan),配置好要扫描的网站地址、登录信息等,点击开始扫描,two thousands years later… Appscan生成了一份非常详细的安全测试报告,然后我们对这份详细的报告里面的安全问题进行了一一验证,最后再提交给开发进.
软件系统安全测试管理标准规范.docx
12-06
本节将详细介绍软件系统安全测试管理标准规范的相关知识点。 1. 软件系统安全测试的重要性 软件系统安全测试是软件开发和测试中非常重要的一部分,它旨在确保软件系统安全性和可靠性。软件系统安全测试可以帮助...
资产管理系统测试方案技术
05-07
资产管理系统测试方案技术是指对资产管理系统进行测试和验证,以确保系统的正确性、可靠性和安全性。该方案涵盖了测试的目的、范围、背景、任务、资源和进度安排等方面。 测试目的:资产管理系统测试的主要目的是...
Web安全测试方案.pdf
07-06
本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及相应,以便测试人员掌握应用程序所有的接入点。
软件系统安全性测试
10-15
安全性测试方法 ,1. 功能验证 功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。 2. 漏洞扫描 安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使 用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从 而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。 3. 模拟攻击 对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统安全防护能力
系统测试方案
07-17
系统测试方案 目录 1 概述 3 2 测试资源和环境 3 2.1 硬件配置 3 2.2 软件配置 3 2.3 测试数据 3 3 测试策略 3 3.1 功能测试 4 3.2 性能测试 4 3.3 用户界面(UI)测试 4 3.4 安全性与访问控制测试 5 3.5 兼容性测试 5 3.6 回归测试 6 4 测试通过标准 6 5 测试需求及测试用例追溯表 7 6 测试用例 9 7 测试进度 10
一个系统测试方案的样例(方案模板)
07-08
一个系统测试的方案模板,包括了测试模型,测试需求和测试设计。 著作钱归本文作者,仅供参考。
学生信息管理系统测试计划方案
03-20
安全测试旨在验证系统安全性,确保系统能够抵御各种攻击和漏洞。 易用性测试 易用性测试旨在验证系统的易用性,确保系统能够提供良好的用户体验。 测试风险管理 测试风险管理旨在识别和评估测试风险,制定风险...
软件系统安全测试管理规范优质资料.doc
12-01
2) 测试方案:制定并审批《安全测试方案》; 3) 测试计划:协调资源,形成测试计划; 4) 实施测试:执行测试,产出《软件安全测试报告》; 5) 回归测试:问题修复,持续测试直至无新问题; 6) 测试总结:总结测试...
安全气囊电子系统测试原理及方案
01-14
 作用原理: 当撞击感知器检测到撞击时,相关控制系统会判断撞车程度决定是否触发充气装置,通常由汽油或炸药等气体发生剂配合点火装置组成充气模块。为了废弃处理上的安全,通常只高温引爆气囊。 汽车的安全气囊...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值