业务安全测试

最新推荐文章于 2024-06-05 22:05:11 发布
最新推荐文章于 2024-06-05 22:05:11 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: Security 文章标签: 安全 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010726042/article/details/60764919
版权
该博客详细阐述了业务安全测试的过程,包括从外部渠道收集域名、端口扫描、服务版本评估到接口安全测试等多个步骤。内容涵盖TCP端口判断、Web服务安全、接口功能逻辑测试以及第三方服务梳理,旨在确保系统的安全性。
摘要由CSDN通过智能技术生成

1.      外部渠道收集域名并整理:搜索引擎、域名遍历工具(fierce dnsmap等)、抓包工具(ZAP)、github搜索

2.      扫描端口开放情况(nmap),以及端口对应服务版本

3.      对外网IP扫描开放的TCP端口

4.      根据TCP端口判断服务类型,评估服务是否有开放必要

5.      判断开放TCP服务版本,评估是否有已知漏洞

6.      评估开放的TCP段都是否有未授权访问

7.      对于开放web服务的端口,评估站点是否有必要开放

8.      对于开放web服务,评估是否有站点层面的安全缺陷

9.      对与用户交互的产品进行了产品功能逻辑的整理

10.  全量测试+抓包进行接口收集(手动点击+ZAP抓包)

11.  针对接口进行应用层安全测试,整理登录后台,对接口进行测试

12.  对github进行常规检查

13.  对使用的第三方服务进行梳理

 

 

接口测试步骤:

1.      确认接口状态(nmap)

2.      使用爆破工具进行测试实验

3.      收集社工信息:通过接口所在地址的其他http接口尝试找到相关信息,包括公司信息,用户名,密码设置限制等(搜索引擎、Maltego等)

4.      构造密码库,包括根据社工信息以及测试时间和速度构造合适大小和合理的密码库。

5.      测试步骤和计划的规划,包括测试网站、测试工具、测试速度、测试命令正确性、测试用户名存在性、测试时间计划等。

6.      测试

(CUPP等密码生成软件不适合国内密码库构造)



禁止转载,谢谢

Q1n6
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
业务安全中的测试
weixin_45682070的博客
07-05 443
登录模块测试,验证码测试,修改密码模块测试 输入输出模块测试业务未授权访问模块测试,回退模块测试 业务办理模块测试业务数据安全测试业务接口模块测试 登录模块测试: 1:登录暴力破解测试:建议 修改验证码过期时间,或者单位时间内的失败尝试次数 2:本地加密传输数据: 3:登录失败信息测试:登录失败时,系统会明确回显用户登录失败的信息 4:cookie仿冒测试:对cookie中会话身份标识进行篡改 建议用户敏感信息数据,用session会话方式 5:session会话注销测试:当用户退出系统时,应将客
业务安全测试关键点
Alluresec的博客
11-20 492
业务流程及测试
最新发布
随笔记录
06-05 1225
流程测试测试人员把系统各个模块连贯起来运行、模拟真实用户实际的工作流程,满足用户需求定义的功能来进行测试的过程。业务流程测试是系统测试最重要的内容,而测试的依据就是用户定义的需求和测试人员的测试设计工作重点应该是放在尽可能全面的收集需求要点、了解整体的业务流程、分析主体业务流程和重点业务流程等工作上。业务流程分析方法从不同的角度分析,对系统的业务比较清楚的描述出来,使得测试过程中业务流程覆盖率更全面。
业务安全-02】业务数据安全测试及商品订购数量篡改实例
m0_64378913的博客
06-25 1161
业务中的数据安全不仅是存储在后台和数据库中的数据是否会被非法窃取或修改,还包括传输过程中的数据是否被非法窃取或修改。概述:电商类网站在业务流程整个环节,需要对业务数据的完整性(不允许篡改)和一致性(前后一致)进行保护,特别是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易数据流程中,容易出现服务端未对用户提交的业务数据进行强制检验,过度信赖客户端提交的业务数据而导致的商品金额篡改漏洞。手段:商品金额篡改测试,是通过抓包修改业务流程中的交易金额等字段,来检测是否存在金额篡改漏洞。目
业务安全01】业务安全基础及测试流程
Fighting_hawk的博客
03-17 6028
1. 了解业务安全的背景及重要性。 2. 掌握业务安全测试流程。 3. 掌握理解业务建模和流程梳理的处理思路。 4. 掌握风险点识别的内容。
基于业务场景的安全测试.pdf
08-07
基于业务场景,流程,业务风险点执行安全测试 业务场景测试要点 从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。 业务场景测试重点关注对象。 原因都是服务端以客户端传入的...
web安全-业务安全知识点总结.pdf
02-10
测试准备是业务安全测试的第一步,它包括对业务系统的前期熟悉工作。测试人员需要通过阅读相关文档和实际操作来理解业务流程,这是白盒测试和黑盒测试都必须进行的步骤。业务调研阶段则通过对业务系统相关负责人进行...
业务安全漏洞整理.7z
02-24
解决业务安全漏洞的关键在于全面的威胁建模、严格的代码审查、持续的安全测试以及及时的安全更新。开发者应实施最小权限原则,确保每个用户只能访问其需要的数据和服务。此外,进行渗透测试和漏洞扫描也能帮助发现并...
启明星辰安全服务与安全运营业务.pdf
10-22
这些服务和业务包括安全服务风险评估、代码审计、重要时期安全保障体系建设、安全咨询、渗透测试、系统加固、架构评估、漏洞扫描和分析、Web监控、应急响应等。 安全服务风险评估是指对企业或组织的信息系统和网络...
业务安全测试checklist
cynthrial的博客
10-29 521
业务安全测试checklist 转载自某学习群的ppt,方便后面查询参考
业务安全-01】业务安全概述及测试流程
m0_64378913的博客
06-25 1123
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网络已经成为与所有人都息息相关的工具和媒介,个人的工作、生活、娱乐,企业的生产、管理,乃至国家的发展和改革都无处其外。 信息和互联网带来的不仅仅是便利和高效,大量隐私、敏感和高价值的信息数据资产成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黑客黄金时代,待现在利益链驱动的庞大黑色产业,网络安全已经成为任何个人、企业、组织和国家必须面临的重要问题。随着互联网+的发展,经济形态不断发生演变。众多传统行业逐步地融入互联网,并利用信息通信
WEB攻防之业务安全测试--学习
weixin_53884648的博客
04-10 894
在浏览器中存在着同源策略,所谓同源是指域名、协议、端口相同。当使用 Ajax 异步 传输数据时,非同源域名之间会存在限制。其中有一种解决方法是 JSONP(JSON with Padding),基本原理是利用了 HTML 里元素标签,远程调用 JSON 文件来 实现数据传递。
基于Burpsuite的安全测试十三:业务数据安全测试
chang_jinling的专栏
06-21 550
基于Burpsuite的安全测试十三:业务数据安全测试 情景1:商品支付金额篡改测试 在支付页面抓包并篡改支付金额,继续跳转到支付平台完成支付,可以实现用低价买入高价商品。 系统修复方案: 商品信息、如金额、折扣等原始数据的校验应来自服务器端,不应该相信客户端传来的内容。 情景2:商品订购数量篡改测试 在购物车抓包并将商品数量更改为非预期数额或者负数进行提交,如果后台对这些异常订单...
业务测试
weixin_42364846的博客
10-20 1867
业务测试是根基 产品测试的需求跟人的需求一样, 也是分层次的. 业务测试肯定是第一位的. 是产品基础. 围绕业务会有很多的衍生需求, 比如性能 安全 稳定性 兼容. 但是首要的还是业务功能. 与其他需求一样 业务功能也是存在可被模型化和技术化的. 产品的衍生需求大多都已经是实现了现代化的检测. 而唯独业务正确性未实现. 这是有很大的历史原因在里面. 我觉得限制主要来自于两个方面. 第一个是业务的正确性无法被很精细化的模型化. 这种复杂性就算是alphago也搞不定, 而且每个领域的模型还不尽相同. 第二个是
(二)安全测试实施:安全测试基础业务用例整理
gzytester的博客
03-12 579
安全测试基础业务用例整理 通用业务 描述 验证方法 安全等级 用户名SQL注入 输入框输入’or ‘a’='a,输入密码点击登录 S0 密码SQL注入 密码输入框输入’or ‘a’='a,点击登录 S0 用户名大小写不区分 使用大小写的用户登录 S3 密码大小写不区分 使用大小写的密码登录 S3 设置基本的复杂度规则,如密码最短长度(建议8位及以上),大小写字母+数字+符号的组合等 使用弱密码页面校验不通过 S2 对默认密码要求强制改密 对第一次登录的用户提示修改密码 S
业务安全测试白皮书】收录常见的业务安全问题和其测试方式
qq_42905388的博客
01-19 916
本文介绍我们小组在业务安全测试中的部分实践,提供参考
业务安全-业务安全
Coisini的博客
05-28 2044
网约车业务数据安全测试
05-25
网约车业务数据安全测试通常包括以下几个方面: 1. 数据加密测试测试网约车平台是否对用户的个人信息、支付信息等进行了加密处理,以防止敏感信息泄露。 2. 权限控制测试测试网约车平台是否对用户信息的访问权限进行了限制,确保只有授权的人员才能接触到相关数据。 3. 网络安全测试测试网约车平台是否有防火墙、反病毒软件等安全措施,以防止黑客攻击和数据泄露。 4. 应用程序安全测试测试网约车平台的应用程序是否存在安全漏洞,如SQL注入、跨站点脚本攻击等,以确保用户数据的安全性。 5. 数据备份与恢复测试测试网约车平台是否对用户数据进行备份,并能够在系统出现故障时进行快速恢复,以确保用户数据不会丢失。 综上所述,网约车业务数据安全测试是非常重要的,可以帮助保护用户的隐私和资金安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值