安全测试点

最新推荐文章于 2023-10-13 16:19:45 发布
最新推荐文章于 2023-10-13 16:19:45 发布
阅读量91 收藏
点赞数
原文链接:http://www.cnblogs.com/sukiqin/p/7597608.html
版权

笔记:

1. 安全测试基础

  • http协议(请求、响应、状态码)
  • 编码方案(base64、URL编码等)
  • 加密解密
  • 流程制定,参考博客:http://blog.csdn.net/ilnature2008/article/details/54095284
  • 先验测试与蜜罐测试:部署一个系统/程序,诱导被攻击,称为蜜罐。

2. 防御

  • 安全原则:参考博客:http://blog.csdn.net/nuli888/article/details/52161790
  • 处理用户访问/输入机制
  • 处理攻击者
  • 解析应用程序,发现隐藏内容,分析应用程序核心功能,预测漏洞,解析受攻击面

3. 安全测试原理

  • 绕过验证(控件/逻辑/隐藏表单字段/绕过cookie)
  • 攻击验证机制(密码强度/暴力破解/嗅探报错信息/攻坚“忘记密码”功能/用户伪装攻击/多阶段登录机制/不安全证书存储)
  • 会话管理劫持(会话生命周期处理/令牌生成时的攻击)
  • sql注入
  • XPATH注入(检测手段)
  • XSS攻击(检测地址例如:http://xsspt.com/index.php?do=login;攻击方式例如:在文本框中输入一段js,被当作运行代码。)
  • CSRF攻击(跨站请求伪造,例如:登录受信任网站A,并在本地生成Cookie;在不登出A的情况下,访问危险网站B。B要求访问A,发出一个扣钱请求。)
  • 逻辑缺陷
  • 自动化审计工具APPSCAN

备注:1. 大部分安全测试靠手工验证:绕过权限控制、XSS、sql注入、CSRF、逻辑漏洞、抓包、改包、攻击美剧之类。

   2. 漏洞一般包括正常操作、漏洞类型(sql注入、xss靠输入来区分、逻辑缺陷、会话劫持等)。

转载于:https://www.cnblogs.com/sukiqin/p/7597608.html

weixin_30354675
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
APP安全测试概述
陈娟的博客
07-19 3255
一. APP安全测试测试点概述 1.安装包测试 1.1关于反编译 目的保护公司知识产权和安全方面的考虑,程序员会在源码中编译一些敏感信息,如密码。一旦泄露安全隐患巨大。 为了避免这些问题,测试中,我们可以直接使用反编译工具(dex2.jar和jd-gui工具)查看源代码,判断研发是否对代码做了混淆,包含显而易见的敏感信息。 1.2关于签名 这IOS不用考虑,因为APP Store会做校验。但Android没有此类权威检查,我们需要在发布前校验一下签名使用的key是否正确,以防被恶意第三方应
安全性测试点
ZYXia888的博客
12-16 315
检查 解释说明,备注 是否检查 一、输入框、文本框 所有输入项都填写,且长度最长,保存 所有数据能正确保存(未被截断) 必填项是否做了必填判断 未输入任何值,击保存;只把必填项填写完,然后保存成功 必填项...
安全测试学习笔记一(Cookie&Session)
08-02 1030
一,Session:含义:有始有终的一系列动作/消息1,  隐含了“面向连接” 和“保持状态”两种含义2,  一种用来在客户端与服务器之间保持状态的解决方案3,  也指这种解决方案的存储结构“把××保存在session里”二, http 协议本来是无状态的,所以引进了cookie和session机制来保持连接状态cookie与session 机制之间的区别与联系:   
安全测试需要考虑的测试点
m0_37449634的博客
11-18 1078
安全测试通常要考虑的测试点 1, 问题:没有被验证的输入 测试方法: 数据类型(字符串,整型,实数,等) 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否允许 数值范围 特定的值(枚举型) 特定的模式(正则表达式) 2, 问题:有问题的访问控制 测试方法: 主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址 例:从一个页面链到另一个页面的间隙可以看到URL地址 直接输入该地址,可以看到自己没有权限的页面信息
安全测试常用功能
weixin_34061042的博客
11-01 190
1. 不登录系统,直接输入登录后的页面的URL是否可以访问;2. 不登录系统,直接输入下载文件的URL是否可以下载文件;如输入:http://url/download?name=file是否可以下载文件file3. 退出登录后,后退按钮能否访问之前的页面;4.ID/密码验证方式中能否使用简单密码;如密码标准为6位以上,字母和数字的组合,不包含ID,连接的字母或数字不能超过n位...
WEB安全测试报告.xlsx
07-09
WEB安全测试报告,辅助做好系统安全测试
移动APP安全测试
02-24
在海量的应用中,APP可能会面临如下威胁:在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估:运营商自主开发的自动化APP安全检测工具,通过”地、集、省”三级机构协作的方式...
登录安全性测试用例设计.docx
11-25
登录安全性测试用例设计 1. 查看用户密码后台存储是否加密 1)查看数据库中的密码存储 2. 用户密码在网络传输过程中是否加密 1)查看请求数据包中的密码是否加密 3.登录退出后session是否销毁,使用登录...
安全测试浅析
03-23
它是所有公司或者组织的虚拟正门,所以比较容易遭受到攻击,存在安全隐患 今天主要给大家分享下有关安全测试的一些知识以及注意事项,主要是以下几: 1、安全测试的验证: 一个系统的安全验证,大致主要可以...
安全性测试培训.pptx
06-23
- 明确测试内容,分析安全测试,考虑适用性、实现方式和工具扫描可能性。 - 设计测试用例,确保无法自动扫描的安全项也得到充分检查。 - 测试用例应清晰,便于执行和评估测试结果。 5. **安全扫描工具** - **...
安全性测试的测试点
热门推荐
狂飙兔的博客
10-18 1万+
安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站请求 发起Blind 请求,模拟合法用户,要求转账等请求 5.不安全对象引用 不安全对象的引入,访问敏感文件和资源,WEB应
安全测试测试点
qq_43519025的博客
11-11 394
安全纬度 敏感信息是否加密:密码前后端传输是否加密 sql 注入?(结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。) 逻辑漏洞: 批量注册重复消费问题?(比如,同一时间,同样的参数,高并发请求,是否只有一个 Http 请求注册成功) 同一手机号,不同邮箱,是否可以注册超过 3 个用户? 3、非功能性需求 - 性能纬度(压
软件测试之App测试点-基础安全测试
流年似水何不珍惜
07-09 524
1.软件权限1)扣费风险:包括发送短信、拨打电话、连接网络等2)隐私泄露风险:包括访问手机信息、访问联系人信息等3)对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测4)限制/允许使用手机功能接入互联网5)限制/允许使用手机发送接受信息功能6)限制/允许应用程序来注册自动启动应用程序7)限制或使用本地连接8)限制/允许使用手机拍照或录音9)限制/允许使用手机读取用户数据10)
移动测试测试点安全测试测试点
weixin_42154938的博客
07-18 365
1、软件权限 1.1、扣费风险:包括发送短信、拨打电话、连接网络等 1.2、隐私泄露风险:包括访问手机信息、访问联系人信息等 1.3、对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测 1.4、限制/允许使用手机功能接入互联网 1.5、限制/允许使用手机发送接收信息功能 1.6、限制/允许应用程序来注册自动启动应用程序 1.7、限制或使用本地连接 1.8、限制/允许使用手机...
Web安全测试知多少?这10个测试点很重要!
cky8792的博客
10-12 1067
什么是安全测试安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,应用仍然能够充分的满足它的需求。 a.如何提供证据?我们通过一组失败的安全测试用例执行结果来证明web应用不满足安全需求。...
安全测试的考虑及测试方法
qq_37051174的博客
06-12 1045
安全测试的考虑及测试方法 软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.用户推出系统后是否删除了所有鉴权标记,是否...
软件测试——安全测试常见测试方法
最新发布
weixin_45189665的博客
10-13 4342
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
软件评测师笔记(十)—— 安全测试相关
qq_33801641的博客
01-09 356
常见安全攻击手段 1、冒充:一个实体假装成一个不同的实体,常和消息篡改和重演一起使用 2、重演:当消息为了产生非授权效果而被重复时,就出现重演了 3、消息篡改:数据所传送的内容被改变而未被发觉,并导致非授权后果 4、服务拒绝:通过向认证/授权服务发送大量虚假请求,占用系统带宽造成关键服务繁忙,使得授权服务不能正常执行,产生服务拒绝 安全性测试方法(安全防护策略) 1、功能验证 2、侦...
安全测试学习笔记——安全测试工具快速入门
卑微小厉的博客
05-05 425
五一期间学习了钉钉的网络课程-安全测试的相关课程,将自己学习的笔记整理分享给大家,既是分享也是对自己学习笔记的整理和复习,一石三鸟。 安全工具快速入门 渗透测试的流程 信息收集:主机发现、端口扫描、指纹识别、子域名收集、查真实...
App测试点安全检测要
App测试点安全检测要 在App测试点中,安全检测是非常重要的一方面。以下是安全检测要: **软件权限风险检测** * 扣费风险:检测App是否能够发送短信、拨打电话、连接网络等,是否存在扣费风险。 * 隐私泄露...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值