安全测试知多少

最新推荐文章于 2024-04-16 07:04:37 发布
最新推荐文章于 2024-04-16 07:04:37 发布
阅读量575 收藏
点赞数
分类专栏: 安全测试 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsibiao/article/details/106659646
版权
安全测试是IT软件开发中的重要环节,它不同于功能测试,旨在发现安全隐患。涵盖系统功能、机制、环境等多个方面,常用工具如AppScan。文章详细介绍了SQL注入、XSS攻击、CSRF攻击、URL跳转漏洞等常见安全问题,提供了测试方法和解决方案,强调了安全测试在防止数据泄露、非法操作等方面的重要性。
摘要由CSDN通过智能技术生成

安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 。

安全测试的几个特点:

  • 与常规的功能测试相比,目标不同,功能测试以发现Bug为目的,安全测试则以发现安全隐患为目标
  • 它是站在防护者角度思考问题,模拟常规的漏洞攻击,尽量发现所有可能被攻击者利用的安全隐患,并指导其进行修复
  • 它的范围较广,不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等
  • 比较依赖工具,扫描、分析、定位、解决

简单的安全测试,可以通过一些基础的技术能力和业务测试能力去发现,无需借助于工具,比如一些经典案例:

  • 注册

密码加密传输、加密校验,防止恶意注册,前后端分别做行为验证。

  • 短信验证码

随机生成、加密提交、和手机号的一致性校验、有效时长、发送频率,从成本和安全考虑,还要防止用户使用脚本频繁提交,设置单日的手机号发送次数,对恶意用户,可以设置黑名单拦截等。

  • 支付

资金账户的操作,自身就是一个安全行为极高的业务。充值、提现,要防止用户篡改请求,在后端需要做金额验证,校验余额是否不足,或校验该请求不是合法的请求(不是前端系统行为,前后端做统一验签)。

多账户操作或高并发下,要对账户做加锁处理。

  • 权限管理

避免越权行为,业务上要做权限的强校验,避免用户URL拼接跳过权限检查。

  • 敏感数据,

加密传输(密码、金额、用户信息),有特别合规要求的,要加密存储。

  • 灰度开关

新版功能发布后,存在漏洞,被用户大量刷单,需要立刻下掉止损,通过后台开关,关闭功能。

系统级别的安全防护,还是需要借助一些强大的工具,常用的一些安全测试工具有很多:

  • AppScan(AppScan standard edition)
  • Sonar Qube,简单的安全漏洞扫描
  • Fotify Static Code Analyzer
  • Findbugs

本文主要以AppScan为例,它是IBM公司的Web应用安全测试工具,操作环境为windows。

Appscan操作不复杂,主要有以下步骤:

  1. 设置网站主页地址
  2. 授权登录账号和密码
  3. 基于以上2点,appScan会探索式爬
最低0.47元/天 解锁文章
爱吃胡萝卜的兔子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常规测试、安全测试、渗透测试的区别
m0_66727391的博客
04-24 3783
安全测试是在IT软件产品的生命周期中,检查产品,检验产品符合安全需求定义和产品质量标准的过程,功能测试是检验产品各功能,根据功能测试用例,逐项测试,检查产品是否符合用户要求的功能。 安全测试是在IT软件产品的生命周期中,检查产品,检验产品符合安全需求定义和产品质量标准的过程,功能测试是检验产品各功能,根据功能测试用例,逐项测试,检查产品是否符合用户要求的功能。渗透测试是模拟恶意黑客攻击方法,评价计算机网络系统安全的评价方法,接下来就来给大家分析一下这三种测试。 一、安全测试与功能测试的区别: 1.目标
fotify php审计,代码安全审计(二)Fortify介绍及使用教程
weixin_42124497的博客
04-02 2196
简介Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。原理-首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源...
Fortify 安装及使用详解(中文版导出设置)
weixin_61240867的博客
07-18 1万+
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
全网最全的网络安全技术栈内容梳理(持续更新中)_网络安全和网站开发维护技术
最新发布
2401_83946826的博客
04-16 874
前面Web安全相关的攻击都是一些很多年的经典手法了,经过多年的发展已经相当成熟,相关的漏洞早已不如以前多,现在很多时候的攻击,都是依靠各种各样的第三方组件漏洞完成的,所以学习研究这些常见第三方组件的漏洞,一方面掌握这些攻击手法用于实战中使用,另一方面触类旁通,对从事漏洞挖掘的工作也是非常有帮助的。通过日志来发现攻击行为是一种最常见的行为,攻击者的Web请求,系统登录,暴力破解尝试等等都会被系统各种软件记录在案,攻击者得手后也经常会抹除相关的日志记录,所以学习掌握这些日志,是攻防两队的人都需要学习的技能。
安全测试入门介绍
MXB1220的博客
06-22 2991
目录1、安全测试定义2、安全测试目的3、安全测试与常规测试区别4、安全测试类型5、安全测试工具 安全测试是建立在功能测试基础上进行的测试,安全测试提供证据表明,在面对恶意攻击时,应用仍能充分满足它的需求,主要是对产品进行检验以验证是否符合安全需求定义和产品质量标准的过程 提升产品安全质量尽量在发布前找到安全问题予以修补降低风险度量安全等级验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵 1.跨站脚本(XSS)   XSS 又叫 CSS(CROSS SET SCRIPT),跨站脚本攻
全网最全的网络安全技术栈内容梳理(持续更新中)
Javachichi的博客
12-10 2014
据我了解现在我国网络安全人才缺口相当大,预计在2023年这方面人才缺口达到327万,我每年这方面的大学生才2W多。现在各政企都在发展数字化变革,对网络安全方面人才也是垂涎若渴,所以大家选择网络安全方向发展是一个不错的选择,只要有互联网的存在,网络安全就需要有人来维护,行业发展前景好!从当前的发展趋势来看,在工业互联网的推动下,网络安全未来将受到越来越多的重视,一方面工业互联网进一步推动了互联网与实体领域的结合,这明显拓展了传统的网络应用边界,也使得网络安全对于产业场景的影响越来越大,另一方面在新基建计划的推
软件测试中的Web安全测试知多少
03-23
1.数据验证流程:一个好的web系统应该在IE端,server端,DB端都应该进行验证。但有不少程序偷工减料,script验证完了,就不管了;...有兴趣的可参看一下script代码,设计一些case,这可是你作为一个高级测试人员
Web安全测试知多少.pdf
10-07
Web安全测试是保护在线应用程序免受恶意攻击的关键环节。它涉及到多个方面,包括数据验证、SQL注入、文件操作漏洞和Cookie欺骗等。以下是对这些关键知识点的详细解释: 1. **数据验证**: - **流程**:有效的数据...
某树的解码国家安全 章节测试答案
10-29
某树的解码国家安全 章节测试答案 需要的拿走吧 亲测 绝对正确
常规测试、安全测试、渗透测试的区别【多测师_王sir】
多测师_王sir的博客
09-15 465
Java安全代码审计介绍及扫描工具Fortify详解
02-24
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
Fortify-SCA扫描指南
08-01
本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明
软件测试技术栈分析
书启鸿蒙知秋枫
12-24 2221
在未来,软件测试技术栈可能会发生一些变化,比如:自动化测试工具会变得更加智能:目前的自动化测试工具主要是基于预先设定的测试脚本来进行测试,未来可能会出现更加智能的自动化测试工具,它们可以根据软件的特性和行为自动生成测试脚本。功能测试工具会变得更加丰富:目前的功能测试工具主要是针对软件的某些特定功能进行测试,未来可能会出现更加丰富的功能测试工具,它们可以对软件的各种功能进行全面测试,并且可以根据软件的变化自动进行测试。在软件测试过程中,可以使用多种类型的测试,包括单元测试、集成测试、系统测试和验收测试。
代码审计工具之Fortify安装以及初步使用
weixin_52515588的博客
04-21 2万+
目录 1 Fortify Fortify工具介绍 1 Fortify Fortify工具介绍 Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。 安全编码规则中的规则分析受支持语言的核心和扩展的API包中的函数,并将分析结果记录在Fortify ..
Fortify 代码扫描安装使用教程
热门推荐
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
JDBC Connection URL 攻击
HongYu012的博客
02-17 1698
当一个 JDBC 连接 URL 可控时,能造成什么影响?相关的若干攻击方法已经被披露很长时间了,但是我还一直都没有学习,随着 HITB2021SIN 中的分享议题 "Make JDBC Attacks Brilliant Again" 的视频上传到了 Youtube 上之后,我觉得实在是不能再拖了,于是就有了这篇文章,本文记录了相关的学习和研究成果,并集合了相关的漏洞代码。 在看本篇文章时,可以边结合视频,边看 PPT 边看我对其的讲解分析,打开 youtube 的自动字幕和自动翻译,结合本文,对英文..
什么是安全测试?哪些阶段需要安全测试?
qinge_Crazy的博客
04-16 3701
  安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,可以说,安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命周期各个阶段的安全测试,如下图所示。   上图中的风险分析、静态分析、渗透测试都属于安全测试的范畴,与前面介绍的普通测试相比,安全测试需要转换视角,改变测试中模拟的对象。下面从以下维度比较常规测试与安全测试的不同。   (1)测试目标不同   普通测试以发现Bug为目标;安全测试以发现安全隐患为
Fortify自定义规则笔记(一)
liweibin812的博客
02-14 1万+
一. Fortify SCA 自定义规则介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值