精华内容
下载资源
问答
  • 软件测试技术——安全性测试

    千次阅读 2020-01-07 10:11:51
    软件安全性测试就是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。 实施安全性测试时,需要考虑软件系统的安全性需求。通常包括两类:一类是作用于整个系统的系统安全性需求,另一类是与某些特定功能相关...

    软件安全性测试就是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。

    实施安全性测试时,需要考虑软件系统的安全性需求。通常包括两类:一类是作用于整个系统的系统安全性需求,另一类是与某些特定功能相关的特定安全性需求。软件系统的全局的安全性问题,可能与应用程序的架构以及整体实现相关,许多系统都利用了第三方资源来实现特殊的功能性需求,对于测试人员来说,验证所有经过这些组件的信息,是否遵从了系统的全局安全性需求规格说明书是尤其重要的。

    对于第三方产品来说,紧跟和安装厂商提供的最新补丁是非常重要的,其中包括web服务器、操作系统和数据库的补丁。与所有更新一样,每次安装了补丁以后,还应该对系统进行回归测试来保证没有引入新的问题。

    1.特定需求和整个系统的安全性测试考虑

    通常利用用户管理和访问控制、通信和数据加密、数据备份和恢复等功能进行安全防护。

    1)用户管理和访问控制安全性测试需要考虑的问题:

    • 明确区分系统中不同用户的权限:应用程序级别的安全性、系统级别的安全性;
    • 检查系统在非授权的内部或外部用户访问或故意破坏时是否出现错误;
    • 系统中会不会出现用户冲突;
    • 系统会不会因为用户权限的改变造成混乱;
    • 用户登录密码是否是可见、可复制;
    • 是否可以通过绝对途径登录系统(复制用户登录后的链接直接进入系统);
    • 用户退出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统;
    • 用户错误登录次数的规定和处理。

    2)数据库安全性测试需要考虑的问题

    • 系统数据是否机密;
    • 系统数据的完整性;
    • 系统数据的可管理性;
    • 系统数据的独立性;
    • 系统数据可备份和恢复能力。检查数据备份是否完整,可否恢复,恢复后是否完整。

    2.软件安全性测试的方法

    采用各种方式来验证或发现系统安全方面的问题,对于软件需求说明书上既定的有关安全的功能需求,要一一进行验证测试,对于没有在软件需求说明书上标明的可能影响系统运行安全的隐形需求也要努力的发现。主动发现,避免被动发现。

    除了有针对软件系统的安全防护功能的功能测试外,还有漏洞扫描、木马检查、模拟攻击试验和使用侦听技术,具体如下:

    1)功能测试:检查权限管理模块、数据恢复功能等这些功能是否达到预期的安全目标,是否达到了没有安全疏漏的要求。

    2)漏洞扫描:采用成熟的网络漏洞检查工具检查系统相关漏洞(用专业黑客攻击工具试一下,如NBSI系统和IPhacker IP)。

    3)模拟攻击试验:模拟非授权攻击,检查防护系统是否坚固。

    4)侦听技术。

    3.外购安全性测试

    第三方安全性测试公司进行安全性测试,与内部测试结合,保证系统安全性。

     

    展开全文
  • APP安全性测试

    千次阅读 2017-11-21 21:34:44
     随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试,以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。  目前大部分app还是走的http或者https,所以防http...

    前言:

      随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试,以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。
      目前大部分app还是走的http或者https,所以防http抓包泄露用户信息以及系统自身漏洞是必要的,通过抓包当你查看一个陌生用户信息时,一些手机号,qq等信息页面上应该不显示的,但这些信息不显示并不代表服务器没有下发,好多都是客户端限制的,通过抓包,完全可以查看到陌生用户的app。再如好多发帖,push消息的应用,如果没有消息有效性的验证,抓到包之后篡改消息,服务器一点反应都没,这就会留有极大的隐患。逆向工程对于android就很好理解了,反编译,修改或者插入自己的代码,以达到相应目的。


    安全性测试策略

      1. 用户隐私
      · 检查是否在本地保存用户密码,无论加密与否
      · 检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密
      · 检查是否将系统文件、配置文件明文保存在外部设备上
      · 部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改
      备注:本地存储数据可以查看看应用的SharedPreferences文件和数据库文件中的数据(root后在应用安装目录内,或者查看外部存储中有没有写入敏感数据)。
      2. 文件权限
      · 检查App所在的目录,其权限必须为不允许其他组成员读写
      3. 网络传输
      · 检查敏感信息在网络传输中是否做了加密处理,重要数据要采用TLS或者SSL
      备注:http请求默认是明文的,如果安全验证和加密机制很烂,通过网络嗅探扫描,很容易被猜到和模拟请求,也可能被注入。
      比如:允许一个虚假的HTML形式被注入攻击者利用来诱骗用户输入他们的用户名和密码,然后把他们的凭据发送到恶意网站。
      4. 运行时解释保护
      · 对于嵌有解释器的软件,检查是否存在XSS、SQL注入漏洞
      · 使用webiew的App,检查是否存在URL欺骗漏洞
      5. Android组件权限保护
      · 禁止App内部组件被任意第三方程序调用。
      · 若需要供外部调用的组件,应检查对调用者是否做了签名限制
      6. 升级
      · 检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持
      7.应用自身安全性
      · 对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构成极大的威胁。
      备注:要求对应用进行加密,防止静态破解,盗取源码,然后嵌入恶意病毒、广告等行为再利用工具打包、签名,形成二次打包应用
    8.界面截取
      · 通过adb shell命令或第三方软件获取root权限,在手机界面截取用户填写的隐私信息,随后进行恶意行为。
      
    安全性测试方法

      如下为转载 Seay FreeBuf 的文章
      移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。

      下图是抓的糗事百科糗事列表




    那么我尝试去找app服务端的漏洞,目前想到的两种方法:
      1.反编译APP
      2.http[s]代理抓包
      那么有人应该会提出问题,这两种方式拿到的链接都是零零散散的,也不好找漏洞啊,我这边的利用方式是把所有抓取的链接直接提交任务到多引擎web漏洞扫描器,扫描器可以批量扫SQL注入等等,其实除了这些漏洞,还有很多可以利用的信息。
      一、反编译APP
      有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。
      1. dex2jar反编译
      工具:dex2jar+jdgui
      方法:
      a. 修改apk为zip扩展名


           b. 解压出classes.dex文件
      c.使用dex2jar反编译(dex2jar.bat classes.dex)


    最后反编译出来的源码如下图。虽然部分类被配置proguard.cfg 混淆了,但是还是可以利用的。


    2. apktool反编译
      工具:apktool
      这个工具比较简单,直接(apktool d apkfile)就可以反编译apk文件,反编译出来的东西为smali反汇编代码、res资源文件、assets配置文件、lib库文件,我们可以直接搜索smali文件和资源文件来查找链接等。




    利用app查找网站真实IP



      除了app服务端的漏洞,还有一个比较好玩的利用方式,通过收集app里面的子域名ip来寻找目标网站的真实IP,根据经验,大多app的接口都没有使用cdn等服务。


    糗事百科真实IP


    二、http[s]代理抓包
      这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互
      步骤:
      a. 在抓包机器上开启代理,测试可以用burp,需要自动化提交扫描任务可以自己写一个代理程序,移动设备设置代理服务器。




     b. 在移动设备上操作app,代理端抓取如下。



    总结:
      整个思路已经很清晰,那么其实要做的就是让这个过程自动化,反编译之后有一个问题,url不一定完整,很多URL都是拼接起来的,我尝试写一套分析引擎,自动化反编译,然后通过对源码的分析,拼接完整的api url,再进行漏洞扫描。
      下图是一个dome,后面准备用python来写,放到服务器上。


    案例分享


      1、任意用户登录
      某次测试一个app,RP比较好,发现一任意用户登录漏洞。在本地的配置文件中有登录用户的帐号和密码,APP设计比较奇葩,只是验证了用户登录邮箱,没有 验证密码,导致通过修改本地的配置文件就可以实现任意用户登录,登录之后能够查看别人的订单等数据。在android虚拟机中安装的app都在/data /data目录下,大概的目录结构如下:


          app安装目录下的结构都是差不多的,主要有缓存文件、数据库目录、本地文件、配置文件等。比较重要的目录有databases、shared_prefs。分别保存了数据库文件和配置文件。
      言归正传,查看了安装app的shared_prefs目录,发现其中一个文件内容如下:


         可以看到有用户的登录邮箱和密码,将邮箱修改成存在的用户邮箱,密码随意输入,然后adb shell之后,用linux命令删除android虚拟机上已经存在的配置文件,再用adb push将修改后的文件发送到android虚拟机,再打开app发现已经用其它用户成功登录了。
    展开全文
  • 软件系统安全性测试列表

    千次阅读 2019-06-16 14:55:47
    随着互联网应用的普及,软件安全性越来越重要,今天我整理了一个软件安全测试的...渗透性测试方法 模糊测试方法 2. 代码安全性检验 程序代码安全性 C++/Java安全性列表 JavaScript安全性列表 代码安全性扫描工具 ...

    随着互联网应用的普及,软件安全性越来越重要,今天我整理了一个软件安全测试的列表,请大家仔细看看,看看有没有漏项,多给力,给予补充,在此谢过!

    1. 系统安全性及测试方法

    1. 软件系统的安全性
    2. 系统安全规范与标准
    3. 源代码评审方法
    4. 基于风险的安全测试
    5. 渗透性测试方法
    6. 模糊测试方法

    2. 代码安全性检验

    1. 程序代码安全性
    2. C++/Java安全性列表
    3. JavaScript安全性列表
    4. 代码安全性扫描工具

    3. Web安全性测试

    1. 动态跟踪元素属性
    2. 检查JavaScript事件
    3. 跨站脚本攻击(XSS)
    4. 跨站请求伪造攻击(CSRF)
    5. 拒绝服务攻击(DOS)
    6. Cookie劫持
    7. 输入验证
    8. 浏览器安全问题
    9. 文件上传风险
    10. Web服务器端安全性
    11. MSI IIS漏洞检验
    12. Apache /Tomcat/…漏洞检验
    13. 内容安全性
    14. 会话管理
    15. 截获和修改post请求
    16. SQL注入及其实例
    17. AJAX安全性测试
    18. 多系统单点登录机制
    19. 渗透性Web安全测试
    20. 使用工具扫描SQL注入漏洞
    21. 使用Firebug观察实时的请求头
    22. 使用Webscarab观察实时的post数据
    23. 使用Tamperdata观察实时的响应头
    24. 使用curl检验URL重定向攻击
    25. 使用nikto扫描网站

    4. 系统功能安全性验证

    1. 口令安全性
    2. 身份验证
    3. 用户权限
    4. 非授权攻击
    5. 访问控制策略
    6. 操作日志检查
    7. 配置管理
    8. 功能失效、异常带来的安全风险

    5. 数据安全性验证

    1. 数据编码验证
    2. 数据加密和解密
    3. 系统数据完整性
    4. 数据管理性
    5. 数据独立性
    6. 数据备份和灾难恢复

    6. 网络和通信安全性检验

    1. 协议一致性验证
    2. 防火墙
    3. 入侵检测技术
    4. 网络拦截
    5. IPSec/SSL VPN
    6. PKI/CA
    7. 网络漏洞检查工具
    展开全文
  • 软件安全性测试

    万次阅读 2017-07-08 23:18:44
    软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。... 软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。  1

    软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不安全的软件上市、避免不安全软件受攻击,就显得十分重要。

      一、软件安全性测试基本概念

      软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。

      1.用户程序安全的测试要考虑问题包括:

      ① 明确区分系统中不同用户权限;

      ② 系统中会不会出现用户冲突;

      ③ 系统会不会因用户的权限的改变造成混乱;

      ④ 用户登陆密码是否是可见、可复制;

      ⑤ 是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统);

      ⑥ 用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统。

      2.系统网络安全的测试要考虑问题包括:

      ① 测试采取的防护措施是否正确装配好,有关系统的补丁是否打上;

      ② 模拟非授权攻击,看防护系统是否坚固;

      ③ 采用成熟的网络漏洞检查工具检查系统相关漏洞;

      ④ 采用各种木马检查工具检查系统木马情况;

      ⑤ 采用各种防外挂工具检查系统各组程序的客外挂漏洞。

      3.数据库安全考虑问题:

      ① 系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求);

      ② 系统数据的完整性;

      ③ 系统数据可管理性;

      ④ 系统数据的独立性;

      ⑤ 系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)。

      二、根据软件安全测试需要考虑的问题

      1. 保护了最薄弱的环节

      攻击者往往设法攻击最易攻击的环节,这对于您来说可能并不奇怪。即便他们在您系统各部分上花费相同的精力,他们也更可能在系统最需要改进的部分中发现问题。这一直觉是广泛适用的,因此我们的安全性测试应侧重于测试最薄弱的部分。

      如果执行一个好的风险分析,进行一次最薄弱环节的安全测试,标识出您觉得是系统最薄弱的组件应该非常容易,消除最严重的风险,是软件安全测试的重要环节。

      2. 是否具有纵深防御的能力

      纵深防御背后的思想是:使用多重防御策略来测试软件,以至少有一层防御将会阻止完全的黑客破坏。 “保护最薄弱环节”的原则适用于组件具有不重叠的安全性功能。当涉及到冗余的安全性措施时,所提供的整体保护比任意单个组件提供的保护要强得多,纵深防御能力的测试是软件安全测试应遵循的原则。

      3. 是否有保护故障的措施

      大量的例子出现在数字世界。经常因为需要支持不安全的旧版软件而出现问题。例如,比方说,该软件的原始版本十分“天真”,完全没有使用加密。现在该软件想修正这一问题,但已建立了广大的用户基础。此外,该软件已部署了许多或许在长时间内都不会升级的服务器。更新更聪明的客户机和服务器需要同未使用新协议更新的较旧的客户机进行互操作。该软件希望强迫老用户升级,没有指望老用户会占用户基础中如此大的一部分,以致于无论如何这将真的很麻烦。怎么办呢?让客户机和服务器检查它从对方收到的第一条消息,然后从中确定发生了什么事情。如果我们在同一段旧的软件“交谈”,那么我们就不执行加密。

      遗憾的是,老谋深算的黑客可以在数据经过网络时,通过篡改数据来迫使两台新客户机都认为对方是旧客户机。更糟的是,在有了支持完全(双向)向后兼容性的同时仍无法消除该问题。

      对这一问题的一种较好解决方案是从开始就采用强制升级方案进行设计;使客户机检测到服务器不再支持它。如果客户机可以安全地检索到补丁,它就升级。否则,它告诉用户他们必须手工获得一个新的副本。但是从一开始就应准备使用这一解决方案,就会得罪早期用户。

    测试采取的防护措施是否正确装配好,有关系统的补丁是否打上就十分的重要。 4. 最小特权 最小特权原则规定:确定只授予执行操作所必需的最少访问权

      测试采取的防护措施是否正确装配好,有关系统的补丁是否打上就十分的重要。

      4. 最小特权

      最小特权原则规定:确定只授予执行操作所必需的最少访问权,并且对于该访问权只准许使用所需的最少时间。

      当软件给出了某些部分的访问权时,一般会出现滥用与那个访问权相关的特权的风险。例如,我们假设您出去度假并把您家的钥匙给了您的朋友,好让他来喂养您的宠物、收集邮件等等。尽管您可能信任那位朋友,但总是存在这样的可能:您的朋友未经您同意就在您的房子里开派对或发生其它您不喜欢的事情。

      一位程序员可能希望访问某种数据对象,但只需要从该对象上进行读。不过,不管出于什么原因,通常该程序员实际需要的不仅是必需的特权。通常,该程序员是在试图使编程更容易一些。

      如果软件设置的访问权结构不是“完全访问或根本不准访问”,那么最小特权原则会非常有效。

      5. 分隔

      分隔背后的基本思想是如果我们将系统分成尽可能多的独立单元,那么我们可以将对系统可能造成损害的量降到最低。

      通常,如果攻击者利用了代码中的缓冲区溢出,对磁盘进行原始写并胡乱修改内核所在内存中的任何数据。没有保护机制能阻止他这样做。因此,系统进行适度的分隔显得十分重要,软件要能直接支持本地磁盘上永远不能被擦去的日志文件,这意味着直到

      攻击者闯入时,才不能保持精确的审计信息。

      适度使用的分隔,将利于系统的管理,但是对每一个功能都进行分隔,那么系统将很难管理。

      三、安全性测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力, 根据安全指标不同测试策略也不同,如果遵循相同的原则,去证明软件的安全性,将有利于软件安全测试的工作规范的进行,有利于软件安全测试工作的发展。

      安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;③故意导致系统失败,企图趁恢复之机非法进入;④试图通过浏览非保密数据,推导所需信息,等等。理论上讲,只要有足够的时间和资源,没有不可进入的系统。因此系统安全设计的准则是,使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。

      安全测试用来验证集成在系统内的保护机制是否能够在实际中保护系统不受到非法的侵入。俗话说: “ 系统的安全当然必须能够经受住正面的攻击 —但是它也必须能够经受住侧面的和背后的攻击。 ”

      在安全测试过程中,测试者扮演着一个试图攻击系统的个人角色。测试者可以尝试去通过外部的手段来获取系统的密码,可以使用可以瓦解任何防守的客户软件来攻击系统;可以把系统“制服”,使得别人无法访问;可以有目的地引发系统错误,期望在系统恢复过程中侵入系统;可以通过浏览非保密的数据,从中找到进入系统的钥匙等等。

      只要有足够的时间和资源,好的安全测试就一定能够最终侵入一个系统。系统设计者的任务就是要把系统设计为想要攻破系统而付出的代价大于攻破系统之后得到的信息的价值。


    展开全文
  • 游戏安全性测试总结

    千次阅读 2019-05-14 19:46:00
    但是有关手机游戏安全性测试又任重道远…… 上线之后,依然出现各种问题,这里只单独讲下游戏安全这一块这些年的一些总结。 具体分析见后续单独的文章分析。 安全性分类: 一、安装包及本地数据存储 1.安装包是否很...
  • Web安全性测试

    千次阅读 2018-12-04 17:28:05
    一、认证与授权 1、认证 即登录功能正常 2、权限 每个用户拥有正确的权限 3、避免未经授权的页面可以直接访问,通过认证和权限(Session),对每个页面有一...4、在手动进行安全测试时,对所有url地址在不登录...
  • 软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 明确区分系统中不同用户权限 、 系统中会不会出现用户冲突 、 系统会不会因用户的权限的改变...
  • 安全性测试:以用户登录为例

    千次阅读 2020-01-29 10:02:51
    安全性测试包括很多方面,安全性测试的工具又有很多,其中以AppScan最为全面,他几乎涵盖了所有安全测试的问题,并且能够生成一个安全测试报告。 以用户登录为例,安全测试需要注意哪些方面: 密码问题: 验证...
  • Web应用程序安全性测试指南

    千次阅读 2020-05-19 17:30:00
    由于存储在Web应用程序中的数据量巨大,并且Web上的事务数量增加,因此,对Web应用程序进行适当的安全测试正变得越来越重要。在本文中,我们将详细了解网站安全测试中使用的关键术语及其测试...
  • 安全性测试用例包括

    千次阅读 2019-05-18 15:31:50
    ... ... 4.不登录的情况下,在浏览器中直接输入登录后的...10.同一用户在同一终端的多种浏览器上登录,验证登录功能的互斥是否符合设计预期; 11.同一用户先后在多台终端的浏览器上登录,验证登录是否具有互斥
  • 安全性测试的测试点

    万次阅读 2017-10-18 11:18:04
    安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令...
  • APP测试之安全性测试

    万次阅读 2017-05-03 22:13:42
    事情虽然解决了,但是引起该问题的一个原因是在测试中没有安全测试,而安全测试的标准,方法都没有。因此今天将之前工作中参与过的安全测试以及从网上查阅到有关安全测试的资料进行整理。有不足的之处,尽情谅解。 ...
  • 支付安全性测试 (转自51testing)

    千次阅读 2018-10-18 14:36:27
    现在有不少测试朋友做的项目中,可能也会涉及到支付相关的功能。比如:做商城的,做游戏的以及其他在线交易的网站、APP等。如果支付出了问题,或者用户拿少的钱通过篡改请求数据购买大金额的商品,如果是实物的话,...
  • web安全性测试用例

    万次阅读 多人点赞 2016-12-15 12:46:04
    建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1. 输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数...
  • 用fiddler进行安全性测试——X5S插件

    千次阅读 2017-01-10 10:45:43
    作为一名测试工程师,相信很多人对fiddler的熟悉都不陌生,然而利用fiddler进行安全性测试,相信仍有一部分人不是很了解。这里介绍fiddler上用来进行安全性测试的一个插件——X5S插件 一、X5S是什么 1、X5S是...
  • 安全性测试涉及的内容

    千次阅读 2014-10-26 20:12:41
    WEB安全性测试  一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。  1.安全体系测试 ...
  • 如何进行安全性测试?

    千次阅读 2014-12-11 23:24:46
    1.功能验证  功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,...漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞
  • 安全性测试(一)--网页安全检查

    千次阅读 2016-04-06 14:29:01
    本文摘抄自一个做过网站系统安全性测试人写的文章! 感觉写的不错,记录下来: 网站安全性测试 一. 测试范围概述  网站的安全性检查一般包括:  网页安全检查 数据库安全检查 系统安全检查 接口安全...
  • 安全性测试(三)--数据库安全检查点

    千次阅读 2016-04-06 14:30:28
    (三) 数据库安全检查点  1. 系统数据是否加密 尽量不要使用sa 账号严格控制数据库用户的权限,不要轻易给用户直接的查询\更改\插入\删除的权限数据库的账号和密码(还有端口号),是不是直接写在配置文件里未进行...
  • 软件安全性测试设计的基本原则

    千次阅读 2015-03-02 20:26:21
    2015年3月2日 百度了下网上已有的同类话题,讲的有些笼统。这里将我日常工作中涉及到的细化一下,以备忘。 1. 最小授权 只授予每个用户/程序在执行操作时所必须的最小特权。...采用多层安全机制,这个概
  • 安全性测试(四)--接口安全检查

    千次阅读 2016-04-06 14:30:59
    (四) 接口安全检查 以支付宝为例 1. 支付的接口 2. 支付的入口 3. 与各个银行的数据接口安全 4. 与支付宝的接口
  • WEB安全性测试考虑的几个方面

    千次阅读 2014-11-04 16:30:53
    随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量...
  • Web安全性测试—SQL注入

    千次阅读 2013-03-10 17:53:50
    Web安全性测试—SQL注入 因为要对网站安全性进行测试,所以,学习了一些sql注入的知识。  在网上看一些sql注入的东东,于是想到了对网站的输入框进行一些测试,本来是想在输入框中输入alter("abc"),但是输入框有...
  • 用户认证安全测试要考虑问题: 1. 明确区分系统中不同用户权限 2. 系统中会不会出现用户冲突 3. 系统会不会因用户的权限的改变造成混乱 4. 用户登陆密码是否是可见、可复制 5. 是否可以通过绝对途径登陆...
  • 文章目录系统测试概述功能测试性能测试负载测试压力测试性能测试、压力测试、负载测试的关系兼容性测试安全测试健壮性测试配置测试可用性测试文档测试 系统测试概述 系统测试的定义 将已经集成好的软件系统,作为...
  • 如何做好网站的安全性测试

    万次阅读 2013-08-29 09:11:26
    安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身
  • 关于安全测试面试的30道基础概念题目

    千次阅读 多人点赞 2018-12-16 20:39:08
    关于安全测试面试的30道基础概念题目   看看这些面试题目,目的是了解安全测试的基本概念。每一道题目都可以展开到一定的深度和广度。 这里仅仅是一个抛砖引玉,点到为止。 Question 1. 什么是安全测试...
  • 菜鸟浅谈——web安全测试

    万次阅读 多人点赞 2018-02-27 22:29:32
    本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要...
  • 【安全测试】接口安全性

    千次阅读 2019-05-04 21:33:49
    之前这边负责的项目后来被主管说接口这里有些风险,特此参考学习接口的安全性测试点。 一.接口防刷 1.为什么会有人要刷接口? 牟利:黄牛在 12306 网上抢票再倒卖。 恶意攻击竞争对手:如短信接口被请求一次,会...
  • 人工智能安全性测试

    2020-06-02 02:03:04
    我们可以研发一套设备,人工智能安全性测试。 将人工智能导入人类所构建的真实虚拟世界当中,进行各种情况的测试。如果人工智能可以一直保持其安全性才可以商用化,一旦人工智能在真实虚拟世界当中发生伤害人类的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 757,634
精华内容 303,053
关键字:

安全性测试