安全测试记录

最新推荐文章于 2021-10-13 11:37:51 发布
最新推荐文章于 2021-10-13 11:37:51 发布
阅读量342 收藏
点赞数
分类专栏: linux 运维 文章标签: 数据安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy_8314/article/details/117322622
版权

性能测试

性能测试一般公司都会有,但是专业测试公司还是会对并发和稳定性进行测试,例如并发100,4小时不间断请求

安全测试

安全测试分为两部分,一部分是服务器和数据库的配置安全性检查和测试,另外一部分是应用的安全性

服务器、数据库配置安全

1. 服务器漏洞检测和修复(定期)

2. 服务器的入侵防御,端口和ip,ssh ,密码强度,过期策略

3. 数据库的各种安全配置,登录失败处理,比如登录失败3次,服务器拒绝请求30分钟,数据库密码强度

4. 数据库审计功能,各种日志,error_log,slow_query_log,bin_log等

5. 服务器审计功能,登录失败日志,用户操作日志

应用安全

1. 应用必须是https,保证请求链路中数据安全

2. 必须加验证码以防止爆破

3. 数据安全性:权限控制,比如低权限用户是否可以获取高权限用户数据

 

解决方案

1. 服务器配置一般开放非典型端口映射

2. 关闭root用户,以centos为例

    (11条消息) Linux 修改SSH端口 和 禁止Root远程登陆_David Dai -- Focus on Oracle-CSDN博客_ssh禁止root远程登录

3. 用户登录失败处理,以centos为例

   Linux登录失败处理功能 - 芹溪 - 博客园 (cnblogs.com)

4. 系统日志

    (11条消息) CentOS系统中常用查看系统信息和日志命令小结_少点套路,多点诚意-CSDN博客

5. 数据库ssl或者内网访问,登录超时处理

    (11条消息) 设置Mysql的连接超时参数wait_timeout、interactive_timeout_安迪·潘 的专栏-CSDN博客

6. 数据库异地热备

7. 数据库登录失败处理 

     (11条消息) MySQL数据库限制多次登录失败重试时间_从入门到放弃-CSDN博客_mysql登录失败5次锁定300秒

8. 数据库日志

   (11条消息) MySQL开启日志记录查询/执行过的SQL语句_探索丶挑战丶突破-CSDN博客_mysql开启日志记录

9. 应用https+登录验证码

10. 权限控制到数据或者api

 

young.wu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
个人学习-软件安全测试术语记录(学习ing)
软件生命周期中的攻防博弈
01-19 1048
malicious 英[məˈlɪʃəs] 美[məˈlɪʃəs] adj. 恶意的,有敌意的; 蓄意的; 预谋的; 存心不良的; 全部释义>> [例句]But malicious speculation on the board has alsooccurred frequently. 但针对创业板的恶意炒作也频频发生。   wel
软件安全测试--详细总结
ak52152111的博客
11-20 1961
软件安全测试--详细总结 摘要 安全性测试从冷门的话题,随着国内各大知名网站频繁被攻击,重要社区用户信息被泄露,逐步被各方所重视。而具体怎么做软件安全性测试,防止骇客有机可乘,国内普遍处于才起步的状态。今天笔者就自己的经验,系统总结了我所了解和掌握的安全测试,希望抛砖引玉,让更多更好的软件安全测试技术、经验被分享出来,供大家交流、学习,让我们的安全测试迈步起到一定的推动作...
安全测试
记录小白的成长之路
02-24 366
安全测试定义: 安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。 1、攻击类: SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 Xss攻击 跨站脚本攻击(Cross S...
安全测试信息收集(记录帖)
NotOrdinary
05-27 341
Whois信息查询 站长之家:http://whois.chinaz.com/ Kali系统中whois命令:(站长之家对部分大网站进行了隐藏,可使用此方法) 墙外的Whois:https://who.is/ 主要关注:注册商、注册人、邮件、DNS解析服务器、注册人联系电话 企业备案信息 天眼查:https://www.tianyancha.com/ ICP备案查询网:http://www....
安全测试学习笔记
weixin_30763455的博客
10-18 137
我对于安全测试的知识仅限于以前上学时候学的信息安全,这方面完全是小白一个。 这篇博客记录我开始学习安全测试的一些内容 一、搭建实验环境 1、虚拟机windows server 2003 2、虚拟机kali Linux 2018.3 3、ophcrack (windows密码破解工具)下载需要的彩虹表配合使用 4、Pwdump (Windows hash密码获取工具) 二、开始我们的第...
电气器具通电安全测试记录.doc
04-26
电气器具通电安全测试记录 C 2.3.7.12 编号: 工程名称 分部(分项)工程 楼门单元 记录代号 试验日期 检查记录 层数 户别 开关 1 2 3 4 5 ...
参考资料-电气器具通电安全测试记录.zip
03-04
参考资料-电气器具通电安全测试记录.zip
电梯电气安全装置测试记录.doc
04-26
电梯电气安全装置测试记录 C 2.3.9.3 编号: 工程名称 制造厂家 电梯编号 电梯型号 测试日期 序号 检验项目 检验内容及其规范标准要求 检查结果 1 电源主开关 位置合理、容量适中、标志易识别 2 断相、错相...
电梯层门安全装置测试记录.doc
04-26
电梯层门安全装置测试记录 C 2.3.9.9 编号: 工程名称 安装单位 电梯编号 层、站、门 测试日期 开门方式 □ 中分 □ 旁开 开门宽度B(mm) 门扇数 门锁装置铭牌制造厂名称 型式试验标志 有效期至 层 站 ...
电梯整机功能测试记录.doc
04-26
电梯整机功能测试记录 C 2.3.9.10 编号: 工程名称 电梯编号 测试日期 项目 试验条件及其规范标准要求 检验结果 无 故 障 运 行 轿厢分别以空载、50%额定载荷和额定载荷三种工况,在通电持续率40%,到达全行程...
软件安全测试(网站漏洞扫描)
03-11
主要讲述一个利用IBM软件进行软件的安全测试,主要针对网站的安全方面的课件。
安全性能检测原始记录 YY0648-2008 检测记录
01-10
安全性能检测原始记录 YY0648-2008 检测记录能够帮助和指导你如正确书写标准,对于不懂安全标准编写的人大有帮助
软件安全测试介绍QA安全测试
11-02
软件安全测试,常用测试方式介绍,QA安全测试
渗透测试全过程记录
12-04
我先感慨一下,在做网络安全这些年感觉一直在漂,从05年刚到北京的远东到08年的大连,再到11年的启明,没有一个地方能让人感到是在踏实的做安全,对网络安全人才这块也都不重视。从圈内群的好友里得知,有很多技术水平很不错的朋友都闲置在家,为什么?我感觉国内的大环境都是这样的,所以出现了2011年底的各大网站密码泄露事件。我认为,泄露的那些库也只是九牛之一毛。在这个拿网络安全人才当民工的时代,也许这个事件算是给那些高傲的、高薪的程序员上的一堂课吧。
安全测试报告.docx
07-23
源代码,程序安全测试报告模板
软件安全测试报告模板_IM3500S LCR数据记录&分析软件
weixin_39566593的博客
11-09 231
这是一款基本的日置LCR数据采集软件(IM3500S LCR数据记录&分析软件),也可根据用户要求进行订制化的日置LCR软件开发及日置LCR软件订制(订制软件可由客户提供测试报告模板,测试结果自动依客户模板格式插入报告,直接生成我们最终格式的测试报,省去我们录入数据整理最终报告的繁琐过程)。针对我们使用普通测试探头进行数据记录的繁琐操作,也可订制配套日置LCR使用的测试治具,测试治具提供触...
安全测试(初测)报告
qq_492448446的博客
10-13 1万+
安全测试(初测)报告 系统名称 版本号 V1.0 送测单位 送测时间 20XX年XX月XX日 复测时间 XXXX有限责任公司 20XX年XX月XX日 有效性声明 1、本测试报告封面及结论未盖章无效; 2、本测试报告需经审批和授权签字人签字,否则无效; 3、本测试报告应妥善保存,不得擅.
软件安全测试之应用安全测试
热门推荐
行万里
03-02 3万+
先说几句废话,望大家海涵^_^ (如果你想从头开始一步步学习安全测试设计,请从我的上一篇文章开始一步步学习下去点击打开链接>,但如果因为工作进度很急,可以先跳过下面的”废话“直接参考总结好的测试方案) 说起安全测试,曾几何时在我心中一直是一种“高大上”的工作,它涉及软硬件、系统架构设计、代码/脚本开发、汇编/反汇编等多个技术层面;相关的技术人才也比较”贵“...从而导致了中小型互联网企业的产品
等保之软件安全测试整理备忘
L.Lawliet的博客
04-14 467
简单整理了一些等保中软件安全测试测试点,记录备忘。 提供密码复杂度检查功能,禁止用户创建弱口令。用户首次登陆密码强制修改密码,密码设置必须符合复杂度要求。三级系统需要提供2种身份认证方式。 提供用户登录失败处理功能,包括限制IP地址登录、禁用用户、设置锁定时间等方式; 提供用户登录日志、用户操作日志和用户管理日志记录功能,方便客户进行安全审计,防止违规操作; 提供用户角色授权管理功能,不同用户设置权限,管理员不要有业务权限,只能进行用户创建、删除、禁用等管理操作。设置审计员用户,只能对业务用户和管理员进
Windows安全测试
最新发布
09-07
您好!对于Windows的安全测试,有几个关键方面需要考虑: 1. 漏洞扫描和安全补丁:通过使用漏洞扫描工具,可以识别系统中存在的已知漏洞并及时应用安全补丁。 2. 强化访问控制:确保只有授权的用户可以访问系统资源,并采取适当的访问控制策略,比如使用最小权限原则和角色分离等。 3. 安全审计和事件日志:启用Windows的安全审计功能,监视系统中的安全事件并记录到事件日志中,以便进行分析和响应。 4. 防病毒和恶意软件防护:使用可靠的防病毒软件和恶意软件防护工具,及时更新病毒定义文件,并进行定期扫描。 5. 防火墙配置:配置Windows防火墙以限制不必要的网络流量,并根据实际需求设置适当的入站和出站规则。 6. 数据备份和恢复:定期备份重要数据,并测试备份恢复过程,以确保在发生安全事件或数据丢失时能够快速恢复。 7. 人员培训和意识提升:加强对员工的安全意识培训,教育他们如何避免社会工程和其他常见的安全威胁。 这只是Windows安全测试的一些基本方面,具体的测试方法和工具还会根据实际情况而有所不同。希望以上信息对您有所帮助!如果您有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值