admin管理员组

文章数量:1547178

文章目录

  • 一、引言
    • 1.1、为什么要学习安全测试以及什么是安全测试
    • 1.2、什么是安全测试
    • 1.3、安全测试与常规测试的区别
  • 二、软件安全测试的基本原则
  • 三、常见的安全漏洞
    • 3.1、失效的身份验证机制
    • 3.2、会话管理劫持
    • 3.3、SQL注入
    • 3.4、XPath注入
    • 3.5、XSS跨站脚本攻击
    • 3.6、CSRF跨站请求伪造
    • 3.7、不安全的直接对象引用
    • 3.8、安全配置错误
    • 3.9、不安全的加密存储
    • 3.10、没有限制URL访问
    • 3.11、传输层保护不足
    • 3.12、未验证的重定向(redirectUrl)和转发
    • 3.13、敏感信息泄露
    • 3.14、功能级访问控制缺失
    • 3.15、使用含有已知漏洞的组件
    • 3.16、缓冲区溢出
    • 3.17、LDAP注入
    • 3.18、篡改输入
  • 四、渗透测试
    • 4.1、明确目标
    • 4.2、分析风险,获得授权
    • 4.3、信息收集
    • 4.4、漏洞探测(手动&自动)
    • 4.5、漏洞验证
    • 4.6、信息分析
    • 4.7、利用漏洞,获取数据
    • 4.8、信息整理
    • 4.9、形成报告

一、引言

1.1、为什么要学习安全测试以及什么是安全测试

 为了安全、有效的进行权限控制、不能随意提交数据进行修改、避免跨站式脚本的攻击。我们偶尔会听到这么一些报道,说某个网站的首页被篡改,敏感数据被泄露或者是重要信息被更改。其实这些问题就是因为黑客利用了系统安全漏洞,对系统进行攻击导致而成,从而导致损失的代价也是不言而喻的。因此安全测试也成为了系统质量保证中必不可少的一部分,那么安全测试具体有什么好处呢?

  • 提升产品的安全质量
  • 尽量在发布前找到安全问题予以修补降低成本
  • 度量安全等级(因为我们知道其实安全测试和找bug一样,我们不可能把系统所有的安全问题都能找到并解决,通过安全测试,我们可以大体的估计系统的安全等级)
  • 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵,不受各种因素的干扰。

1.2、什么是安全测试

 提供证据表明,在面对敌意和恶意的时候,应用仍能充分满足它的需求。安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品是否符合安全需求定义和产品质量标准的过程。也就是说安全测试是建立在功能测试的基础上进行的测试。简要的说安全测试主要发现包含如下的问题:

本文标签: 测试软件

版权声明:本文标题:软件测试之安全测试 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1727191542a1101483.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。