安全测试

最新推荐文章于 2024-05-26 01:55:08 发布
最新推荐文章于 2024-05-26 01:55:08 发布
阅读量369 收藏
点赞数 1
分类专栏: 功能测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43890794/article/details/86286723
版权

安全测试定义: 安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。

1、攻击类:

SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

Xss攻击

跨站脚本攻击(Cross Site Scripting简称XSS)

测试方法:1、在文本输入地方输入Script代码,如:。测试是否进行转义

2、在图片上传的地方上传gif格式的图片,图片使用记事本编辑插入一下内容:GIF89a。测试是否会校验根据目前现有的资料认为以上的情况有遭受XSS攻击的风险。

3、DDos攻击

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。没有第三次握手。

根据目前掌握的资料认为,DDos攻击是利用了TCP/IP协议的漏洞,除非不用TCP/IP,才有可能完全抵御住DDoS攻击。同时测试模拟DDos攻击也存在着风险,所以对于该类型的攻击,建议以防御为主。网上看到的一些防御方法如下:

a、关闭不必要的服务

b、限制同时打开的Syn半连接数目

c、缩短Syn半连接的time out 时间

d、及时更新系统补丁

⋘森林⋙
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件测试——安全测试常见测试方法
weixin_45189665的博客
10-13 4175
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
什么是安全测试
HONGTester的博客
05-28 1万+
安全测试概述,安全漏洞,安全测试特性,加密算法,安全测试常用工具
什么是安全测试,如何进行安全测试
最新发布
weixin_45754647的博客
05-26 439
安全测试是一种旨在识别系统、网络或应用程序中的安全漏洞的测试方法。其目标是确保系统能够抵御恶意攻击,保护数据的机密性、完整性和可用性。安全测试通常包括漏洞扫描、渗透测试、代码审计和安全评估等多个方面。明确测试的目标系统和应用,包括具体的IP地址、URL、子域名和API接口。确定测试的深度和广度,确保测试范围涵盖所有关键组件和功能。安全测试是确保系统、网络和应用程序安全的重要手段。通过系统化的测试方法和工具,可以及时发现和修复安全漏洞,保护数据的机密性、完整性和可用性。
超全的安全测试汇总
weixin_44602565的博客
03-10 1万+
1.安全测试在做什么? 扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。 2.安全测试者是怎样定位自己的? 我们经常可以从身边的朋友口中听到一些有关安全的名称,向
安全测试入门基础大全。。费了大功夫整理(超级全面)
软件测试技术交流分享
05-22 2497
随着互联网的发展,安全问题变得越来越重要。一个大型的互联网站点,如果每天查看日志,会发现有很多试图攻击的脚本。如果不是,证明网站的影响力不够大。信息集成背后隐藏着安全隐患。比如为Web应用编写的代码,由于开发人员的不严谨,质量堪忧,很可能被第三方恶意利用,使得未经授权的访问可以获得对敏感数据和Web服务器的控制。
drozer安全测试
Mr____Feng的博客
11-04 395
前提条件: 1.下载 并安装adb工具 链接:https://pan.baidu.com/s/1Dj5uoat1a_mBiR3b7g5W2g 提取码:jzhn 下载解压后如下(尽可能避免使用中文目录): 将该路径添加到系统变量中: 常用adb命令: adb devices :查看当前连接设备 adb devices -l :查看当前链接设备显示详细信息 adb forward tcp:31415tcp:31415:PC上所有31415端口通信数据将被重定向到手机端3141...
安全测试报告.docx
07-23
安全测试报告是对软件系统进行深度安全评估的重要文档,旨在发现并修复潜在的安全风险,确保系统的稳定性和用户数据的安全。这份报告关注的是XX管理平台的源代码和应用程序的安全性,通过SQA(Software Quality ...
IOS安全测试工具
05-07
IOS安全测试工具、
AppScan安全测试总结.docx
06-30
AppScan是IBM公司推出的一款强大的Web应用程序安全测试工具,它主要针对常见的Web应用安全漏洞进行黑盒测试。通过深入分析和扫描,AppScan能够帮助企业识别并预防潜在的安全风险,确保Web应用的安全性。 首先,...
WEB安全测试点报告.xlsx
07-09
WEB安全测试点报告,辅助做好系统安全测试
安全测试与渗透测试区别
03-23
安全测试与渗透测试区别.安全测试不同于渗透测试,渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自...
安全基础--22--安全测试
热门推荐
武天旭的博客
10-04 3万+
一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在了解现状和基本需求的情况下,定义业务系统的基础安全配置要求,配置要求内容和具体产品相关 业务安全配置评估 辨析不同业务系统的安全需求,在已形成的基础安全配置评估上...
到底什么是安全测试
weixin_68789096的博客
04-20 317
Web安全就是要让软件面对敌意和恶意输入时,仍然可以充分知足需求。Web安全性测试是有关验证Web应用的安全服务和识别潜在安全性缺陷的过程。WEB应用程序的基本安全原则:(全部用户输入均不可信!
安全测试-优秀测试工程师必备的4项安全测试方法
yjt2045263063的博客
03-18 2117
因此,反向测试过程是从缺陷空间出发,建立缺陷威胁模型,通过威胁模型来寻找入侵点,对入侵点进行已知漏洞的扫描测试。为了规避反向设计原则所带来的测试不完备性,需要一种正向的测试方法来对软件进行比较完备的测试,使测试过的软件能够预防未知的攻击手段和方法。过程主要的一个优点是成本较低,只要验证已知的可能发生的缺陷即可,但缺点是测试不完善,无法将测试空间覆盖完整,无法发现未知的攻击手段。例如,对软件运行时的内存信息进行扫描,看是否存在一些导致隐患的信息,当然这需要专门的工具来进行验证,手工做是比较困难的。
安全测试常用的工具有哪些?这些不能少!
oldboyedu1的博客
11-03 2737
Nmap是一种使用原始IP数据包的工具,以非常创新的方式决定网络上有哪些主机,主机上的哪些服务提供什么数据、什么操作系统、什么类型、什么版本的包过滤/防火墙正在被目标使用。Maltego被设计用来把一个全面的网络威胁图片传给企业或者其他进行取证的组织的局部环境,它是一个平台。Maltego非常棒的一点,同时也是它非常受欢迎的原因是它的独特视角因为它同时提供了基于实体的网络和源,聚合了整个网络的信息-无论是网络的脆弱路由的当前配置,还是当前你的员工的国际访问,Maltego都可以定位,汇总并可视化这些数据。
Web应用安全测试指南
"Web安全测试规范是一份详细指导文档,旨在确保Web应用的安全性,它由安全解决方案部、电信网络与业务安全实验室、软件公司安全TMG和测试业务管理部共同制定。本规范遵循《Web应用安全开发规范》,并参考了如《OWASP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值