不测试,不安全 —— 安全测试的重要性!

这篇具有很好参考价值的文章主要介绍了不测试,不安全 —— 安全测试的重要性!。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1、 什么是安全测试

安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。

安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。 它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题。

1.1 安全测试举措

  • 保密 - 它可以防止向非预期接收者披露信息。
  • 完整性 - 它允许从发送者向预期接收者传输准确和正确的所需信息。
  • 身份验证 - 验证并确认用户的身份。
  • 授权 - 它指定对用户和资源的访问权限。
  • 可用性 - 确保准备就绪的信息。
  • 不可否认性 - 它确保发送者或接收者不会拒绝发送或接收消息。

1.2 常见的安全漏洞

1.2.1SQL 注入攻击

名词解释:SQL 注入攻击(SQL Injection),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的 SQL 指令的检查,被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,甚至执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

1.2.2 文件上传

名词解析:文件上传漏洞是指由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取 Web 应用的控制权限(Getshell)。

1.2.3 权限漏洞

名词解析:访问控制是指用户对系统所有访问的权限控制,通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞,很难通过日常的安全工具扫描或防护,通常会造成大量用户数据泄露事件。

  • 水平越权:同一权限(角色)级别的用户之间所产生的问题,如 A 用户可以未授权访问 B 用户的数据等。
  • 垂直越权:不同权限(角色)级别的用户之间所产生的问题,如普通用户可未授权进行管理操作,未登录用户可以访问需授权应用等。
现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集的技术文档和视频教程。
如果你不想再体验自学时找不到资源,没人解答问题,坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大牛
分享他们的经验,还会分享很多直播讲座和技术沙龙
可以免费学习!划重点!开源的!!!
qq群号:110685036【暗号:csdn999】

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

1.2.4 暴力破解

名词解析:暴力破解是指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。随着互联网众多网站的数据库被泄露,攻击者选择的样本可以更具针对性,暴力破解的成功率也在不断上升。

1.2.5 拒绝服务攻击

名词解析:拒绝服务攻击(DoS,Denial of Service)是利用合理的请求造成资源过载,从而导致服务不可用的一种攻击方式。分为针对 Web 应用层的攻击、客户端 / APP 的攻击。

1.2.6 敏感信息泄露

名词解析:敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用,进行诈骗、账户窃取等,给用户和企业带来严重的不良影响。并且信息一旦信息被泄露,影响会很难消除。

1.2.7 业务逻辑漏洞

名词解析:业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞,如用户找回密码缺陷,攻击者可重置任意用户密码;如短信漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,多数需要人工根据业务场景及特点进行分析检测。

1.2.8 跨站脚本攻击(XSS)

名词解析:跨站脚本攻击(XSS, Cross Site Script)通常指黑客通过 “HTML 注入” 篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS 漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS 是目前客户端 Web 安全中最重要的漏洞。

XSS 按效果的不同可以分为以下 3 种。

  • 反射型 XSS 攻击:页面仅把用户输入直接回显在页面或源码中,需要诱使用户点击才能成功。
  • 存储型 XSS 攻击:XSS 攻击代码会被存储在服务器中,由于用户可能会主动浏览被攻击页面,此种方法危害较大。
  • DOM 型 XSS 攻击:通过修改页面的 DOM 节点形成 XSS,严格来讲也可划为反射型 XSS。

1.2.9 跨站点请求伪造(CSRF)

名词解析:跨站点请求伪造(CSRF, Cross Site Request Forgery)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品、转账、修改资料甚至密码等。

2 为什么要做安全测试

提到安全。我们一个产品一个网站最需要加强安全防范的就是数据库。那么如果缺少了安全性测试,在高手的 sql 盲注下,你的数据库就会逐步展现在黑客的面前,无论是数据库类型、表结构、字段名或是详细的用户信息,都有无数种手段可以让人 “一览无余”。

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

2.1 权限

网站一般都规定了什么样的用户可以做什么事。比如版主可以修改所有人的帖子,而你普通用户只能编辑自己的帖子,同样游客只能看大家的帖子。这就是简单的权限。如果少了安全性保证,那么就容易有人跳出权限做他不该做的事情。

2.2 修改提交数据信息

比如一个支付商城,如果通过抓包抓到的提交价格,经过修改再发包可以通过。简单来说就是本来 100 块钱买的东西,抓包修改为 1 块就能成功购买。这就成为了一个巨大的隐患。

2.3 类似跨站脚本的安全隐患

  • HTML 注入。所有 HTML 注入范例只是注入一个 JavaScript 弹出式的警告框:alert (1)。
  • 做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了 HTML 代码的页面链接时攻击者能作的各种的恶意事情。
  • 诱捕受害者,可能会 redirect 到另一个钓鱼的其他网站之类的,使其蒙受损失。

2.4 敏感词的校验

比如一个政府部门的一个网站或者 app,里边可以输入一些有违目前制度以及一些领导人的词汇的问题,这样的影响是非常大的,所以我们要避免这些影响的发生。

3 如何来做安全测试

安全测试是在 IT 软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,可以说,安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命周期各个阶段的安全测试,如下图所示。

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

上图中的风险分析、静态分析、渗透测试都属于安全测试的范畴,与普通测试相比,安全测试需要转换视角,改变测试中模拟的对象。下面从以下维度比较常规测试与安全测试的不同。

3.1 测试目标不同

普通测试以发现 Bug 为目标;安全测试以发现安全隐患为目标。

3.2 假设条件不同

普通测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面;安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。

3.3 思考域不同

普通测试以系统所具有的功能为思考域;安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用和数据自身安全风险与安全属性等。

3.4 问题发现模式不同

普通测试以违反功能定义为判断依据;安全测试以违反权限与能力的约束为判断依据。

4 工作中的总结

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

4.1 敏感词校验

步骤:

  • 对小程序、h5、官网带输入框的进行敏感词输入、搜索。

小程序校验:

官网校验:

  • 验证是否对敏感词有拦截,如有拦截则正常,如不能拦截则存在安全问题。

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

4.2 明文传输

对系统传输过程中的敏感内容是明文 & 密文进行检查,设计到的模块:登录、支付、注册的手机号、身份证、邮箱。

步骤:

  • 对传输敏感信息场景进行抓包。
  • 分析其数据包中的相关敏感字段是否为明文。

例如接口中手机号、座机号、姓名都是明文:

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

4.3 越权访问

测试是否可以通过 url 直接获取管理员和其他用户信息。

步骤:

  • 查看 url 中是否存在 admin/user/system/pwd 等敏感目录。
  • 当系统存在多个不同权限的管理员时,看低权限的管理员能不能访问到高权限的管理的资源。
  • 当系统存在多个需要登录用户,用 A 用户进行登录,记录所浏览的个人资源的 url 和修改删除的操作;退出 A 用户后,登录 B 用户,使用所记录的 url 来直接访问,看是否可以访问成功或者操作成功。

4.4 非法注入

测试系统是否对输入进行过滤和转移,设计到的模块:搜索框、输入框、备注信息、上传文件、URL、输入框、备注信息。

步骤:

  • 在系统的 URL 地址后面,输入测试语句:看是否会有弹框展示。
  • 在搜索框、输入框、备注信息中输入测试语句: 看是否会有弹框展示。
  • 官网校验如图:

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

4.4.1 上传文件

步骤:

  • 在上传的文件中输入:,文件名为 test。
  • 点击上传,查看上传接口,将上传的文件名改为 html 文件,然后访问该文件,如可以访问则存在问题,如不能访问则正常。

4.4.2 文件下载

步骤:

  • 点击文件下载,查看文件下载接口并进行记录。
  • 修改文件下载接口,例如 xxxxx 下载接口 /../ 对路径进行跳转尝试下载其他目录下的文件,看是否可以正常下载,如可以下载则存在问题,如果不能下载则正常。

4.5 短信、邮箱验证

涉及到的模块:触发短信、邮箱验证码的相关场景。

步骤:

  • 操作密码找回、获取验证码获取功能,记录该获取接口。
  • 频繁调用密码找回、验证验证码接口,看是否存在拦截,以防短信被刷。
  • 查看验证码接口,看是否可以通过接口截取到验证码信息。
  • 如下京东快递 h5,短信防刷如图所示:

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

4.6 密码健壮性

测试密码、验证码验证方式是否可靠,是否可以被暴力猜测直到命中。

步骤:

  • 登录是接入公司的统一登录 passport,可忽略。
  • 验证码的场景,使用抓包工具,修改接口中的密码、验证码,多次尝试输入错误的验证码,如果没有输入次数上限可以暴力猜测直到命中,则存在漏洞。

4.7 数据安全

检测系统中敏感数据的存储是否安全。

步骤:

  • 检查敏感数据是否加密存储,检查对应的数据库表,防止拖库后信息泄露。
  • 检查敏感数据在操作界面是否进行了脱敏操作,例如:密码的显示隐藏选项、手机号、身份证号的展示等。
  • 检查数据设置是否安全,检查在输入设计钱财的边界值,是否可以输入符合和是否超过最大的数额。
  • 定期检测数据库中敏感数据是否做了脱敏处理:

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

4.8 支付相关

设计到的场景模块:先揽后付、达达支付、协商再投。

步骤:

  • 例如在线支付、达达支付、协商再投在调取收银台、微信支付时,查看支付接口的调用。
  • 查看支付页面金额是否正确,是否存在负数的情况。
  • 查看支付接口,看是否可以通过接口截取到支付密码信息。

最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走!

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
 

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师

不测试,不安全 —— 安全测试的重要性!,软件测试,经验分享,自动化测试,pytest,postman,jmeter,测试工具,安全测试,测试工程师文章来源地址https://www.toymoban.com/news/detail-758336.html

到了这里,关于不测试,不安全 —— 安全测试的重要性!的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 《安全历史第1讲——从故宫修建看软件物料清单的重要性》

    故宫,这座中国传统文化的重要代表和象征性建筑已屹立近600年, 是世界上现存规模最大、保存最为完整的木质结构古建筑之一 。 故宫之所以能至今保存完好,除持续保护和修缮外,其使用的木材和砖石等材料也经过了精挑细选,保证故宫的建筑更加坚固耐用。 别小看一截

    2024年02月22日
    浏览(41)
  • 移动App安全检测的重要性,好用的App安全测试工具分享

    一、移动App安全检测的重要性 在移动互联网时代,移动App成为人们生活不可或缺的一部分,人们使用App处理各种个人和敏感信息,因此保护用户的隐私和数据安全至关重要。而移动App安全检测是保障用户隐私和数据安全的重要环节。通过安全检测,可以发现和修复应用程序中

    2024年02月16日
    浏览(54)
  • 软件工程的概念及其重要性

    软件工程是指将工程原理和方法应用于软件开发过程的学科,涉及软件的设计、开发、测试、维护和管理等各个阶段。它旨在提高软件开发的效率和质量,并确保软件满足用户的需求和预期。 软件工程的重要性体现在以下几个方面: 提高开发效率:软件工程通过采用系统化

    2024年02月09日
    浏览(44)
  • 网络安全的重要性

    网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。 从广义来说,凡是涉及到网络上信息的保密性、完整性、

    2024年02月06日
    浏览(44)
  • 介绍性能压力测试的重要性

    在当今数字化时代,软件和应用程序的性能对于用户体验和业务成功至关重要。为了确保系统在面临高负载和压力时能够正常运行,性能压力测试成为一项不可或缺的活动。本文将介绍性能压力测试的重要性。   性能压力测试是一种通过模拟实际场景中的负荷和用户访问量,

    2024年02月17日
    浏览(47)
  • Selenium 中并行测试的重要性!

    随着技术的进步,测试解决方案变得更具可扩展性,加速了团队从手动测试到Selenium测试自动化的转型。但是成年人的世界,没有什么是容易的。对于许多团队来说,并行运行多个测试仍然是不可扩展的。他们倾向于遵循传统的顺序执行测试方法,但是这需要大量时间、精力

    2024年02月03日
    浏览(53)
  • Selenium 中并行测试的重要性

    目录 前言: 并行测试 Selenium 中的并行测试 使用 TestNG 和 Selenium 进行并行测试 为什么我们需要在 Selenium 中进行并行测试? 更多测试范围 减少测试时间 成本效益 优化 CI/CD 流程 持续测试 实施并行测试 总结 在软件测试中,Selenium是一个广泛使用的自动化测试工具,用于测试

    2024年02月16日
    浏览(41)
  • 网络安全合规-数据安全治理的重要性

    数据安全治理能力评估框架将数据安全治理分为三大层次,即数据安全战略、数据全生命周期安全和基础安全[3]。数据安全战略指组织的数据安全顶层规划,起到为数据安全治理“搭框架”“配人手”的作用;数据全生命周期安全指组织在数据全生命周期的安全管控措施;基

    2024年02月13日
    浏览(41)
  • 性能压力测试的重要性与实施方法

    性能压力测试是在软件开发过程中评估系统在不同负载条件下的表现和稳定性的关键步骤。这种测试是为了确定系统在正常和峰值负载下的性能表现,以验证系统是否能够满足用户需求,同时发现潜在的性能问题并加以解决。   首先,性能压力测试对于确保系统高可用性和稳

    2024年02月14日
    浏览(44)
  • 测试用例过程控制的重要性

    作为一位资深的测试工程师,我将为大家详细介绍测试用例执行过程的关键步骤。测试用例执行过程是软件测试中的核心环节,它可以帮助我们发现潜在的问题,确保软件的质量和稳定性。 在开始测试用例执行之前,我们需要明确测试的目标。这包括了解软件的功能、性能、

    2024年02月15日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包