![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全测试
风抽过的烟头
这个作者很懒,什么都没留下…
展开
-
软件安全性测试设计的基本原则
博客里的表格太难用了...直接上图:下面这张图可以帮忙加深上面表格的理解:1. 最小授权只授予每个用户/程序在执行操作时所必须的最小特权。这样可以限制事故、错误、攻击带来的危害,减小特权程序之间潜在的相互影响。2. 发生故障优先保证安全:当系统发生故障时,对任何请求默认应加以拒绝。3. 深入防御原则:采用多层安全机制,这个概念范围比较大。比如在表单中的字段校验不光要在页面校验,还要在后台有相应的校验机制;比如在信任区、飞信任区之间二次部署防火墙。...转载 2020-09-10 17:54:05 · 858 阅读 · 0 评论 -
软件安全测试之网络安全&管理安全
一、组网安全1. 产品提供网络拓扑图:按照三层模型或者其他模型设计的具备安全性的拓扑图,图中必须标明所有网络设备的逻辑连接关系,网络物理连线图(包括无线网络连接)。2.安全域划分:依据业务系统内不同主机的服务类型、安全保护需求和安全等级进行网络安全域的划分,如核心业务区、OM 区、DMZ 区、非信任区、第三方互联区、远程维护区等。3.DMZ区主机部署:必须将面向 Internet 提供服务的主机放入 DMZ 区。4.核心业务区主机部署:将数据库放置于核心业务区或其他内部网络区域,且必须...转载 2020-09-10 17:49:09 · 2035 阅读 · 0 评论 -
软件安全测试之系统安全测试
一、操作系统安全1. 操作系统不允许存在Nessus扫描出的高风险级别漏洞*注:Nessus使用方法简介对于各服务器的操作系统采用Nessus进行漏洞扫描:1、登录Nessus;2、创建扫描策略:点击“Policies”菜单,再点击“Add”按钮,在第一步中设置扫描策略的名称;在第二步配置超级管理员账号口令;在第三步,点击“Disable All”按钮,在“Familles”框中选择“Policy Compliance”,在“Policy Compliance”的“Plugins”框中选择对转载 2020-09-10 17:33:30 · 2147 阅读 · 1 评论 -
安全测试之应用安全
先列一下安全测试设计的技能列表(本内容来源于网络,经过自己整理和亲身体会,挑出了感觉对自己有帮助的技能供大家参考):A、前期1、了解什么是hacker,这点看似没什么关系,但作为测试最基本的素质,就是要”换位思考“,你要明白应该以什么角色去测试要负责的系统;搞明白hacker的基本行为模式和动机,可以更好的帮我们制定出消减威胁的措施和方案;2、一些基础命令,包括DOS命令,以及UNIX / Linux下的命令。3、远程扫描、远程刺探技术。包括通过系统自带命令的信息刺探以及使用工具扫描等。4、密码转载 2020-09-10 16:41:19 · 17788 阅读 · 0 评论