一.什么是安全测试

最新推荐文章于 2024-09-16 14:31:42 发布
最新推荐文章于 2024-09-16 14:31:42 发布
阅读量1.8w 收藏 24
点赞数 5
分类专栏: 安全测试梳理及指导

1.安全测试在做什么?

扫描?在很多人眼中,做安全的就是整天那个工具在哪里扫描操作,使用各种不同的工具做扫描。

是的,扫描是安全测试很重要的一部分,扫描可快速有效发现问题。扫描工具的易用性,方便性决定了其重要地位。但是扫描工具的局限性,程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段

2.安全测试者是怎样定位自己的?

我们经常听到一些有关安全的名称,像软件安全、信息安全、网络安全、计算机安全等一些词组,这些领域都是做安全的,那我们属于哪一个呢?

【软件安全】往小了说就是某一个软件产品,说大了除了硬件就是软件了。

【信息安全】看名字我们就知道关键是信息两个字,但是什么是信息呢,客户的数据还是一切有用的数据?

【网络安全】什么是网络,网络系统硬件、软件这都是些模糊的可大可小的概念

【计算机安全】PC?服务器?路由器?

我们可以看到这些概念往大了说成了组成我们今天互联网的各种设备包括各种嵌入式机器、外接USB、蓝牙等设备的共同体的硬软件,以及使用、维护、管理这些东西人的整个安全问题

在看他们的区别,他们以不同的地方为其主要关注点,或者说出发点,他们并没有明显的界限却有着自己的侧重点

我们的侧重点是什么呢,我们产品是一个什么样的产品呢?我们有web服务、接口服务、文件服务、视频等服务,我们把他们统一称为我们的系统,那么我们就是在做这个系统的安全测试,所以我觉得我们应该定位为系统安全测试

当然我们的系统运行中也涉及到人、涉及到硬件,此处都不是我们的关注点,我们只从软件技术的角度来识别它。那么,系统安全测试就成了区别于功能测试,和性能测试一样,单独列出来的专项测试

3.安全的本质是什么?

信任、人性(网络安全最大的漏洞就是人)、止损、攻防

以上是当前网上一些主要的论点,以信任或者不信任作为本质出发点的还是占据主流的

4.概念定义

【敏感数据】具体的范围取决于产品具体的应用场景,产品应根据风险进行分析和判断

                      典型敏感数据包括口令、银行账号、大批量个人数据、用户通信内容和密钥等

【个人数据】指直接通过该数据或者结合该数据与其他的信息,可识别出自然人的信息

【匿名化】指对个人数据进行更改(单独单向散列、截短、替换等,如需保留个人数据真实值与替换值之间的对应关系,可使用对称加密或映射表方式,但密钥/映射表必须由数据所有这控制),使原有关个人信息不再能归属到一个可识别的自然人,或推理这种归属需要耗费过多、不相称的时间、费用和精力

 

 

 

什么是web安全测试
mengjie1016的博客
05-08 7834
1.1什么是web安全测试? Web安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,web系统应用仍然能够充分地满足它的需求 1.2为什么进行Web安全测试 2005年06月,CardSystems,黑客恶意侵入了它的电脑系统,窃取了4000万张信用卡的资料。 2011年12月,国内最大的开发者社区CSDN被黑客在互联网上公布了600万注册用户的数据;黑客随后陆续公布了网易、人人、天涯、猫扑等多家大型网站的数据信息。 2014年12月,大量12306用户数据被泄露,被泄露的数据达131653条,包括
动态应用安全测试 (DAST) 与渗透测试:应用程序安全测试综合指南
网络研究观
06-30 2422
本综合指南将探讨 DAST 与渗透测试,包括 DAST 扫描与渗透测试以及 SAST、DAST 和渗透测试之间的关系。
[原创]什么是安全性测试
weixin_33882443的博客
05-15 437
[原创]什么是安全性测试   原贴于2007-05-15 11:00 创建,以下是对51testing的软件测试每周一问 51testing软件测试每周一问:在网站测试中如何做好安全性测试?(08-05-16) http://bbs.51testing.com/thread-114973-1-1.html 以下是我的回复^_^ 安全性测试(security testing)是有关验...
安全测试入门基础了解(纯概念版)
最新发布
m0_62410106的博客
09-16 408
本文是基于以下课程所做的笔记。
什么是安全测试
热门推荐
HONGTester的博客
05-28 1万+
安全测试概述,安全漏洞,安全测试特性,加密算法,安全测试常用工具
101.网络安全渗透测试—[常规漏洞挖掘与利用篇17]—[json劫持漏洞与测试]
m0_67265464的博客
02-24 5889
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、json劫持漏洞概念 (1)json劫持概念 (2)json劫持攻击 二、json劫持漏洞测试 (1)json劫持漏洞测试流程与方法 (2)json漏洞页面源码:`json.php` (3)测试json.php是否存在漏洞:`json-poc.html` (4)劫持json数据,发送给远程服务器 一、json劫持漏洞概念 (1)json劫持概念 JSON是一种轻量级的数据交换格式,而劫持就
96.网络安全渗透测试—[常规漏洞挖掘与利用篇12]—[越权漏洞与测试]
qwsn
02-04 3926
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、越权漏洞与测试 1、什么是越权漏洞 2、越权漏洞的分类 (1)平行越权漏洞: (2)垂直越权漏洞: 3、平行越权测试 (1)两个相同权限的账号 (2)两个相同权限账号的购物订单:`qwsn1的订单` (3)两个相同权限账号的购物订单:`qwsn2的订单` (4)水平越权总结:`【相同用户权限之间的越权就做水平越权】` 4、垂直越权测试 (1)不同权限的账号 (2)用qwsn1用户发布一个帖子 (3)用admin登录
详解软件工程之软件测试
weixin_30737433的博客
12-14 239
软件工程的视频看完了大概半个月的时间了,软件工程的书也看了四五本,每一本书基本内容都相同,同样也各有侧重点,当一块比较四本书的内容时,你会发现各有各的优势。不论怎样,只有经历一步一步的过程,一个好的软件才能被设计出来。 一个好的软件一定离不开软件测试,只有在测试的过程中发现尽可能多的错误,才能保证软件是否是真的好。我认为软件测试是软件开发过程最重要的一环。 下面为大家...
web安全测试
06-21
web安全测试高清扫描版,本书讲了什么是web安全,然后讲了有什么技术来测试web的安全性,且能让web安全测试可自动化,提高了测试的效率,避免了回归测试的痛苦
WEB安全测试
07-02
目录 序 1 前言 3 第1章 绪论 13 1.1 什么是安全测试 13 1.2 什么是Web应用 17 1.3 Web应用基础 21 1.4 Web应用安全测试 25 1.5 方法才是重点 26 第2章 安装免费工具 29 2.1 安装Firefox 29 2.2 安装Firefox扩展 30 2.3 安装Firebug 31 2.4 安装OWASP的WebScarab 32 2.5 在Windows上安装Perl及其软件包 33 2.6 在Linux, Unix或OS X上安装Perl和使用CPAN 34 2.7 安装CAL9000 35 2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章 基本观察 43 3.1 查看网页的HTML源代码 44 3.2 查看源代码,高级功能 45 3.3 使用Firebug观察实时的请求头 48 3.4 使用WebScarab观察实时的POST数据 52 3.5 查看隐藏表单域 55 3.6 使用TamperData观察实时的响应头 56 3.7 高亮显示JavaScript和注释 59 3.8 检测JavaScript事件 60 3.9 修改特定的元素属性 61 3.10 动态跟踪元素属性 63 3.11 结论 65 第4章 面向Web的数据编码 66 4.1 辨别二进制数据表示 67 4.2 使用Base-64 69 4.3 在网页中转换Base-36数字 71 4.4 在Perl中使用Base-36 71 4.5 使用以URL方式编码的数据 72 4.6 使用HTML实体数据 74 4.7 计算散列值 76 4.8 辨别时间格式 78 4.9 以编程方式对时间值进行编码 80 4.10 解码ASP.NET的视图状态 81 4.11 解码多重编码 83 第5章 篡改输入 85 5.1 截获和修改POST请求 86 5.2 绕过输入限制 89 5.3 篡改URL 90 5.4 自动篡改URL 93 5.5 测试对URL长度的处理 94 5.6 编辑Cookie 96 5.7 伪造浏览器头信息 99 5.8 上传带有恶意文件名的文件 101 5.9 上传大文件 104 5.10 上传恶意XML实体文件 105 5.11 上传恶意XML结构 107 5.12 上传恶意ZIP文件 109 5.13 上传样例病毒文件 110 5.14 绕过用户界面的限制 111 第6章 自动化批量扫描 114 6.1 使用WebScarab爬行网站 115 6.2 将爬行结果转换为清单 117 6.3 减少要测试的URL 120 6.4 使用电子表格程序来精简列表 120 6.5 使用LWP对网站做镜像 121 6.6 使用wget对网站做镜像 123 6.7 使用wget对特定的清单做镜像 124 6.8 使用Nikto扫描网站 125 6.9 理解Nikto的输出结果 127 6.10 使用Nikto扫描HTTPS站点 128 6.11 使用带身份验证的Nikto 129 6.12 在特定起始点启动Nikto 130 6.13 在Nikto中使用特定的会话Cookie 131 6.14 使用WSFuzzer测试Web服务 132 6.15 理解WSFuzzer的输出结果 134 第7章 使用cURL实现特定任务的自动化 137 7.1 使用cURL获取页面 138 7.2 获取URL的许多变体 139 7.3 自动跟踪重定向 140 7.4 使用cURL检查跨站式脚本 141 7.5 使用cURL检查目录遍历 144 7.6 冒充特定类型的网页浏览器或设备 147 7.7 以交互方式冒充另一种设备 149 7.8 使用cURL模仿搜索引擎 151 7.9 通过假造Referer头信息来伪造工作流程 152 7.10 仅获取HTTP头 153 7.11 使用cURL发送POST请求 154 7.12 保持会话状态 156 7.13 操纵Cookie 157 7.14 使用cURL上传文件 158 7.15 建立多级测试用例 159 7.16 结论 164 第8章 使用LibWWWPerl实现自动化 166 8.1 编写简单的Perl脚本来获取页面 167 8.2 以编程方式更改参数 169 8.3 使用POST模仿表单输入 170 8.4 捕获和保存Cookie 172 8.5 检查会话过期 173 8.6 测试会话固定 175 8.7 发送恶意Cookie值 177 8.8 上传恶意文件内容 179 8.9 上传带有恶意名称的文件 181 8.10 上传病毒到应用 182 8.11 使用Perl解析接收到的值 184 8.12 以编程方式来编辑页面 186 8.13 使用线程化提高性能 189 第9章 查找设计缺陷 191 9.1 绕过必需的导航 192 9.2 尝试特权操作 194 9.3 滥用密码恢复 195 9.4 滥用可预测的标识符 197 9.5 预测凭证 199 9.6 找出应用中的随机数 200 9.7 测试随机数 202 9.8 滥用可重复性 204 9.9 滥用高负载操作 206 9.10 滥用限制性的功能 208 9.11 滥用竞争条件 209 第10章 攻击AJAX 211 10.1 观察实时的AJAX请求 213 10.2 识别应用中的JavaScript 214 10.3 从AJAX活动回溯到源代码 215 10.4 截获和修改AJAX请求 216 10.5 截获和修改服务器响应 218 10.6 使用注入数据破坏AJAX 220 10.7 使用注入XML破坏AJAX 222 10.8 使用注入JSON破坏AJAX 223 10.9 破坏客户端状态 224 10.10 检查跨域访问 226 10.11 通过JSON劫持来读取私有数据 227 第11章 操纵会话 229 11.1 在Cookie中查找会话标识符 230 11.2 在请求中查找会话标识符 232 11.3 查找Authentication头 233 11.4 分析会话ID过期 235 11.5 使用Burp分析会话标识符 239 11.6 使用WebScarab分析会话随机性 240 11.7 更改会话以逃避限制 245 11.8 假扮其他用户 247 11.9 固定会话 248 11.10 测试跨站请求伪造 249 第12章 多层面的测试 251 12.1 使用XSS窃取Cookie 251 12.2 使用XSS创建覆盖 253 12.3 使用XSS产生HTTP请求 255 12.4 以交互方式尝试基于DOM的XSS 256 12.5 绕过字段长度限制(XSS) 258 12.6 以交互方式尝试跨站式跟踪 259 12.7 修改Host头 261 12.8 暴力猜测用户名和密码 263 12.9 以交互方式尝试PHP包含文件注入 265 12.10 制作解压缩炸弹 266 12.11 以交互方式尝试命令注入 268 12.12 系统地尝试命令注入 270 12.13 以交互方式尝试XPath注入 273 12.14 以交互方式尝试服务器端包含(SSI)注入 275 12.15 系统地尝试服务器端包含(SSI)注入 276 12.16 以交互方式尝试LDAP注入 278 12.17 以交互方式尝试日志注入 280
浅谈web安全测试
Smonk小僧の静思小庙
04-01 1514
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
[转]软件测试和VSTS 测试工具
*_*哈密瓜@_^!!
06-05 1583
1        软件测试和VSTS 测试工具本部分介绍各种测试类型,以及它们在VSTS 2005中的应用。 在学习讨论之前,阿彪问大家:我有一个闷在心里好久的问题 – bug到底翻译成什么最好?杂曰:    臭虫,缺陷,错误,地雷,应用程序异常,    就用bug好了,大家都理解! 小强!小强! 大家回头一看,阿毛红着脸说:
什么是安全测试(二)
HONGTester的博客
10-19 968
数据库安全测试,CSS攻击,sql注入,URL安全测试,Session测试
到底什么是安全测试
weixin_68789096的博客
04-20 385
Web安全就是要让软件面对敌意和恶意输入时,仍然可以充分知足需求。Web安全性测试是有关验证Web应用的安全服务和识别潜在安全性缺陷的过程。WEB应用程序的基本安全原则:(全部用户输入均不可信!
终于有大佬把软件测试的元素定位总结得这么通俗易懂了!
软件测试阿沐博客
07-21 1503
为什么要学习元素定位方式 1. 让程序操作指定元素,就必须先找到此元素; 2. 程序不像人类用眼睛直接定位到元素; 3. webDriver提供了八种定位元素的方式。 定位方式总结 1. id、name、class_name、tag_name:根据元素的标签或元素的属性来进行定位 2. link_text、partial_link_text:根据超链接的文本来进行定位(a标签) 3. xpath:为元素路径定位 4. css:为css选择器定位(样式定位) .
Web应用安全测试规范指南
WEB安全测试范畴 本资源摘要信息旨在为Web...本资源摘要信息旨在为Web相关的测试人员、开发人员、专职的安全测试评估人员等提供一份关于Web安全测试的规范指南,帮助他们更好地理解Web安全测试的重要性和测试过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值