安全测试的思路

最新推荐文章于 2023-04-20 09:41:08 发布
最新推荐文章于 2023-04-20 09:41:08 发布
阅读量275 收藏 1
点赞数
原文链接:http://www.cnblogs.com/veggiegfei/p/10425481.html
版权
安全测试的思路
  作为国内做安全最好的公司肯定要问一些安全测试的题。我将我准备的安全测试的思路说了一些:
  (1)查看这个APP进程中,有没有存在debug 和info log.
  (2)清缓存后,登录不上,说明没有残存cookie.同一账号,记住密码,连续登陆几天,看会不会生效,cookie有时间限制;登陆失败后,不能 记录密码的功能.
  (3)登录成功后生成的Cookie,是否是http only?,否则容易被脚本盗取,使用火狐的cookie Manager.
  (4)在地址栏直接输入各个功能页面的URL地址,看系统如何处理,是否能够直接链接查看(匿名查看),是否有权限控制,是否直接执行,并返回相应结果页
  (5)错误登陆的次数限制,防止暴力破解
  (6)用户名和密码是否通过加密的方式,发送给Web服务器.
  (7)什么都不输入,点击提交按钮,看提示信息。(非空检查)

转载于:https://www.cnblogs.com/veggiegfei/p/10425481.html

weixin_30532973
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试
yyj173637的博客
04-19 196
软件安全测试包括程序、网络、数据库安全测试安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;③故意导致系统失败,企图趁恢复之机非法进入;④试图通过浏览非保密数据,推导所需信息,等等。理论上讲,只要有足够的时间和资源,没有不可进入的系统。因此系统安全设计的准则是,使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。
drozer安全测试
Mr____Feng的博客
11-04 374
前提条件: 1.下载 并安装adb工具 链接:https://pan.baidu.com/s/1Dj5uoat1a_mBiR3b7g5W2g 提取码:jzhn 下载解压后如下(尽可能避免使用中文目录): 将该路径添加到系统变量中: 常用adb命令: adb devices :查看当前连接设备 adb devices -l :查看当前链接设备显示详细信息 adb forward tcp:31415tcp:31415:PC上所有31415端口通信数据将被重定向到手机端3141...
安全基础--22--安全测试
热门推荐
武天旭的博客
10-04 3万+
一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在了解现状和基本需求的情况下,定义业务系统的基础安全配置要求,配置要求内容和具体产品相关 业务安全配置评估 辨析不同业务系统的安全需求,在已形成的基础安全配置评估上...
web安全测试用例
weixin_33924220的博客
05-12 2415
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*()...
什么是安全测试
2201_75362610的博客
04-20 1656
通过对系统进行全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,确保系统的安全性。安全性一般分为应用程序级别和系统级别,区别如下:应用程序级别:包括对应数据或业务功能的访问,核实应用程序的用户权限只能操作被授权访问的那些功能或数。系统级别:包括对操作系统的目录或远程访问,主要核实具备系统和应用程序访问权限的操作者才能访问系统和应用程序
全网最全的网络安全技术栈内容梳理(持续更新中)
Javachichi的博客
12-10 1892
据我了解现在我国网络安全人才缺口相当大,预计在2023年这方面人才缺口达到327万,我每年这方面的大学生才2W多。现在各政企都在发展数字化变革,对网络安全方面人才也是垂涎若渴,所以大家选择网络安全方向发展是一个不错的选择,只要有互联网的存在,网络安全就需要有人来维护,行业发展前景好!从当前的发展趋势来看,在工业互联网的推动下,网络安全未来将受到越来越多的重视,一方面工业互联网进一步推动了互联网与实体领域的结合,这明显拓展了传统的网络应用边界,也使得网络安全对于产业场景的影响越来越大,另一方面在新基建计划的推
安全测试
jffhy2017的博客
01-16 2392
测试类型:应用程序级别测试,基础结构测试 威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置 1.sql盲注; 风险:可能会查看、修改或删除数据库条目和表; 原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击; 威胁分类:sql盲注 测试类型:应用程序级别测试 2.使用sql注入的认证旁路 风险
软件行业安全测试方案模板
07-31
安全测试方案 给大家提供方向,编写思路,拓展思维 在编写安全测试方案时,需要关注的测试工具,范围,具有详细描述
移动APP安全测试要点
02-24
在海量的应用中,APP可能会面临如下威胁:在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估:运营商自主开发的自动化APP安全检测工具,通过”地、集、省”三级机构协作的方式...
应用安全渗透测试技术方案.docx
10-18
应用安全渗透测试技术方案 应用安全渗透测试技术方案是指通过模拟攻击来评估应用系统的安全性,以发现和修复潜在的安全漏洞。下面是该方案的详细知识点: 一、国内信息安全情况概述 1.1 国内APP安全环境简述 ...
渗透测试思路总结
08-27
安全实验室关于渗透测试的总结,分为针对网站的,针对服务器的等
网络安全_登陆页面__渗透测试常见的几种思路与总结.pdf
06-09
我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基 于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给 你一个登陆网站页面,没有测试账号,让你自己进行渗透测试,一开始...
浅析安全测试
weixin_34343000的博客
01-02 327
web应用无处不在,存在于每个行业,现在的发展速度非常快速,且web应用在软件开发中所扮演的角色不断成长并且越来越重要,而现在,web应用遭受着格外多的安全攻击,其原因在于,现在的网站以及在网站上运行的应用在某种意义上来说,它是所有公司或者组织的虚拟正门,所以比较容易遭受到攻击,存在安全隐患今天主要给大家分享下有关安全测试的一些知识点以及注意事项,主要是以下几点:1、安全测试的验证点:一个系统的安...
软件安全测试-软件安全测试概述
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-06 2900
关于安全的重要性以及安全意识到底有多重要,咱们从2021年互联网历史上破坏力最惊人漏洞之一Log4j漏洞讲起,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。从爆发至今,Log4j漏洞影响的严重性、广泛性已经在各领域开始显现,并不断加大。简单点说,黑客可以恶意构造特殊数据请求包payload触发漏洞,从而可以在目标服务器上执行任意代码,导致服务器被黑客控制。
软件测试技术栈分析
书启鸿蒙知秋枫
12-24 2134
在未来,软件测试技术栈可能会发生一些变化,比如:自动化测试工具会变得更加智能:目前的自动化测试工具主要是基于预先设定的测试脚本来进行测试,未来可能会出现更加智能的自动化测试工具,它们可以根据软件的特性和行为自动生成测试脚本。功能测试工具会变得更加丰富:目前的功能测试工具主要是针对软件的某些特定功能进行测试,未来可能会出现更加丰富的功能测试工具,它们可以对软件的各种功能进行全面测试,并且可以根据软件的变化自动进行测试。在软件测试过程中,可以使用多种类型的测试,包括单元测试、集成测试、系统测试和验收测试
安全测试流程一点思考
sinat_22522367的专栏
10-13 1537
产品开发测试会以Feature形式介入,参与需求分析,开发设计,集成验证等各个阶段。 1. 测试设计阶段,根据需求文档做分析并设计用例场景,和需求开发交流测试场景,如证书初始化。 2. 参与开发澄清讨论,主要还是集中在需求及实现方面问题,确保各方对业务需求理解的一致性和合理性。另外砍不必要的如一些重复告警等功能,去掉不需实现功能。 3. 前端功能测试,不同模块组件的集成测试,单个功能点的验证...
安全测试的考虑点及测试方法
qq_37051174的博客
06-12 925
安全测试的考虑点及测试方法 软件安全测试主要包括程序、数据库安全测试。根据系统安全指标不同测试策略也不同。 用户认证安全测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.用户推出系统后是否删除了所有鉴权标记,是否...
1719378276792.jpg
最新发布
06-26
1719378276792.jpg
saas软件测试思路
05-10
Saas软件测试思路主要包括以下几个方面: 1. 功能测试:对Saas软件的各项功能进行测试,包括界面交互、数据输入输出、操作流程等,确保软件的各项功能都能够正常工作。 2. 性能测试测试Saas软件在大量用户同时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值