web应用测试的具体流程(等保测评相关)

一、与用户仔细交流意见,询问一下哪些操作可以做,哪些操作不能做,避免进行应用测试时损坏生产数据(测试环境除外)

二、询问客户需要测的应用的管理员(系统管理员、审计管理员等)和普通用户的测试账号。

三、开始测试web应用

1.我们登录看看应用具体有哪些模块

2.模块下的功能性按钮(比如:新增-附件处-上传等)

3.测试管理员和普通用户是否具有越权行为,又或者是普通用户越权查看管理人员才成查看到的模块

4.测试web应用是否有目录遍历的漏洞(这里我们用burpsuite,加上自己写的一些敏感的目录信息)

5.测试查询处等利于SQL注入的地方是否拥有sql注入漏洞(可以手工也可以使用sqlmap工具)

6.测试添加信息处是否存在xss漏洞(比如:存储型xss、DOM型xss、反射型xss等)

7.使用burpsuite,拦截web登录信息,看看是否有明文的鉴别信息或者采用MD5等不安全的加密算法。

8.测试是否有未授权下载,使用burpsuite,拦截文件下载信息,发送到repeater,删除cookie等信息,看看是否还是能下载。

9.询问客户询问类的信息,比如定时更换口令、登录失败处理等功能。

10.测试是否存在永久cookie和token等。

四、反馈给客户问题列表

五、客户整改完后,复测,出具报告等。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北极狐fox

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值