对于web安全测试的一些感悟

最新推荐文章于 2024-07-17 14:08:08 发布
最新推荐文章于 2024-07-17 14:08:08 发布
阅读量3.5k 收藏 5
点赞数
分类专栏: web安全 文章标签: 安全 测试 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u03024218/article/details/17023967
版权

起初对于web安全性测试有了很大的误区,作为一个菜鸟,我认为做安全性测试首先要以黑客的身份去看网站,找寻漏洞,进行入侵。为此,我找了很多家网站进行学习,如习科论坛等。也在项目中进行了尝试,找了个xss 、sql注入之类的点,觉得这就是安全测试。后来发现我这样做对于测试来说有很大的差别。基本上不能保证被测系统的安全性。

在和同事的讨论中,对于测试有了一点新的认知。类似于功能测试,要保证每个点都不存在问题。如果是安全测试的话,也要保证每个页面上的功能点不存在安全问题。

今天组长给我们发了个ppt,我针对安全方面看了一下,对于安全测试有了点总结。

第一:要明白原理,不论是sql注入、xss还是csrf等,都是要了解入侵原理的,否则会扩大测试范围。比如有人问我,你测试了csrf了吗?你测试权限会话劫持了吗?你测试越权了吗?是不是一头雾水?这些都是黑客技术中的一个名词,但是这些其实都是来自于窃取用户cookies后的不同操作,如何保证cookies被窃取后不被他人使用才是测试的关键。这样做才能减少各种名词对于测试人员的伤害。

 

第二:要把原理转换成用例。针对每个页面,或者有功能的页面(增删改)等。先判断页面是否有必要测试(静态页面做sql注入就没必要)。然后再将原理转换成合适的用例。类似于这张截图:

 

 

以上

 

原理的东西很多,很多都是我不会的。一点一点来吧。

八十三
关注
专栏目录
Web安全测试》读书笔记
某技术爱好者的专栏
10-08 2354
Web安全测试》读书笔记
Web安全测试
w13632910369的博客
12-11 1128
1、用户权限测试   (1) 用户权限控制           1) 用户权限控制主要是对一些有权限控制的功能进行验证           2) 用户A才能进行的操作,B是否能够进行操作(可通过窜session,将在下面介绍)           3)只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)   (2) 页面权限控制           1) 必须有登陆权...
web安全测试总结
11-28
sql注入:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串 示例:在查询中输入字符串 ' or 1=1 --
一直都想总结一下自己遇到过的web安全方面的问题--2015-03-31
ivan0609的专栏
03-31 1018
2013年的时候,在一个项目中遇到了很多关于WEB安全方面的问题,由于我也是个挨踢新人,没有解决这方面问题的能力,一直都很想把当时的问题记录下来,但是一直拖到了现在都还没有去写。说忙也是借口。
web功能测试总结报告
最新发布
nhb687095的博客
07-17 556
链接是web应用系统的一个很重要的特征,主要是用于页面之间切换跳转,指导用户去一些不知道地址的页面的主要手段,链接测试一般关注三点:1)链接是否按照既定指示那样,确实链接到了该链接的界面2)测试该链接所链接的页面是否真的存在3)保证系统中没有单独存在的页面(即没有链接指向,只能通过正确的URL地址才能访问)PS:这里顺带说点关于协议的一些小知识,URL全称“统一资源定位符”,表示获取某一互联网资源的地址;而URI表示“统一资源标识符”,代表互联网上某一些资源这个也可以理解为数据落地;
Web应用安全认知
weixin_40050195的博客
09-26 477
阿里云大学课程:Web应用安全认知 课程介绍: 目前云计算环境下的应用主要以Web应用为主,本认证课程旨在帮助学员了解Web应用的主要威胁,以及对常见的攻击,如:SQL注入攻击、XSS攻击、文件上传攻击等,有一定的理解。这样才能更好的在开发或运维过程中预防和处理这些攻击,以及减少带来的影响。 课程目标:  了解Web应用的主要威胁  理解SQL注入攻击的分类、方式和防御方法  理解XS...
[WEB安全测试](美)霍普——总结
qq_22820783的博客
04-21 222
第一部分:基础知识 第一章:绪论 阐述软件安全测试及如何应用。 第二章:工具的安装使用 第三章:
web安全测试
m0_67880724的博客
04-08 3699
在进行目标渗透测试之前,最重要的一步就是收集信息,在这阶段要尽可能的收集目标的信息对目标了解的越多,之后进行的测试就越容易。 信息收集的一般方法 一. Whois查询 1.1whois是一个标准的互联网协议,在3whois查询中,能找到很多跟域名有关的信息,例如域名注册时间,域名所有人,一般的小型网站域名所有人是网站管理员。 常用的查询网址有爱站(https://whois.aizhan.com)站长之家(http://whois.chinaz.com)和Virus Total(...
web安全攻防渗透测试实训笔记
m0_65385236的博客
04-07 1382
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
Web安全攻防渗透测试实战指南》之 第一章 渗透测试之信息收集
Cai1010110的博客
05-16 1775
这是第一章的学习笔记,如果需要该书的PDF,可以留言,在这里就不留下书籍了。小白自学学习中。。。。。
web服务器攻击与防御系统设计,网络安全-Web的入侵防御系统的设计与实现
weixin_30271235的博客
08-05 2080
摘 要Web服务器往往得不到传统防御方式的有效保护,使其成为整个网络环境中安全最薄弱的地方。缓冲区溢出、SQL注入、基于脚本的DDos、盗链和跨站等攻击行为对Web服务器的安全和稳定造成极大的威胁,而目前缺少有效的防御和保护的方式。本课题中首先调研了当前Web服务器所面对的威胁,然后针对这些安全威胁设计了一套入侵防御系统,并通过ISAPI实现了对Windows平台下的IIS服务器的保护。在这套入...
安全测试总结,安全测试
05-01
安全测试总结,安全测试总结,安全测试总结
WEB安全测试点报告.xlsx
07-09
WEB安全测试点报告,辅助做好系统安全测试
安全测试报告.docx
07-23
源代码,程序安全测试报告模板
WEB安全测试技术
03-23
WEB安全测试软件测试WEB安全测试一个完整的WEB安全测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。1.安全体系测试1)部署与基础结构l网络  WEB安全测试  软件测试  WEB安全测试  一个完整的WEB安全测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。  1.安全体系测试  1)部署与基础结构  l网络是否提供了安全的通信  l部署拓扑结构是否包括内部的防火墙  l部署拓扑结构中是否包括远程应
软件测试学习感想,软件测试学习心得
weixin_39966765的博客
07-22 438
不知不觉已经八月出头了,已经学习两个半月的我们距离找工作是越来越近了,学习是件既快乐又痛苦的事情。满怀着对测试的喜好以及对高薪的向往,五月份来到了传智播客学习,这也是我第一次来到上海。来了上海也没有出去转过,直接就投奔到知识的海洋,经过了这么长时间的学习,学的不一定是班里前几名的,但是论到用功,我敢说我肯定是前几名里的,来学了这么久,我好好像就休息了四五天,其它休息时间竟在自习室里度过了,因为我想...
concat mysql sql注入_Web安全测试学习笔记-SQL注入-利用concat和updatexml函数
weixin_42097668的博客
12-29 395
mysql数据库中有两个函数:concat和updatexml,在sql注入时经常组合使用,本文通过学习concat和updatexml函数的使用方法,结合实例来理解这种sql注入方式的原理。concat函数是mysql的字符串连接函数,定义如下: 先来验证下concat函数的功能:select concat('m','y','s','q','l')验证结果:如定义所示,concat将字符串连接起...
安全测试的一些思考总结
weixin_30924239的博客
09-15 180
一、SQL注入 SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令 1、表单类注入 登录时SQL应该是这样: select * from user where username='chengzi' and password=md5('123456'); 我们现在需要构建一个比如:在用户名输入框中输入: ’ or 1...
Web应用安全测试规范指南
WEB安全测试范畴 本资源摘要信息旨在为Web...本资源摘要信息旨在为Web相关的测试人员、开发人员、专职的安全测试评估人员等提供一份关于Web安全测试的规范指南,帮助他们更好地理解Web安全测试的重要性和测试过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值