安全测试
- 安全测试的目的
- 提升IT产品的质量
- 尽量在发布前找到安全问题并给予修补降低成本
- 度量安全
- 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵,不受各种因素的干扰
- web安全测试思考点
- 用户权限测试
- 用户权限控制
- 用户权限控制主要是对一些有权限控制的功能进行验证
- 用户A才能进行条件的操作,B是否能够进行操作(可通过窜session)
- 只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)
- 页面权限控制
- 必须有登录权限的页面,是否能够在不登录的情况下进行访问
- 必须经过A——B——C的页面,是否能够直接由A——C
- 用户权限控制
- URL安全测试
- 适用范围:URL中含有参数,也就是通过GET方式传递的HTTP请求
- GET只能传输比较少的数据,安全性较低,POST传输数据较多,安全性也比GET高
- 测试关注点
- URL参数检查
- 对URL中参数信息检查是否正确,如:URL中的订单号,金额允许显示出来的话,需要验证其是否正确
- 对一些重要的参数信息,不应该在URL中显示出来,
- URL参数检查
- 用户权限测试