- 1、本文档共30页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Web测试 : 安全篇
胡胜强
Web安全测试定义
Web安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,web系统应用仍然能够充分地满足它的需求。
-----《web安全测试》
安全测试概述
据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划,始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。
安全测试概述
安全测试概述
安全测试概述
我们遵循普通用户所采取的方法来测试应用的功能。如果我们不确定与其行为是什么,通常也会通过询问别人、阅读需求或者使用我们的直觉的方法知道。负面测试遵循一些从正面测试中自然而直接地获取的原则。我们知道银行的存款不应该是负值;密码不应该是1MB的JPEG图片;电话号码中不应该包含字母。随着我们对应用进行并建立起正面的功能测试,建立反面测试就自然而然成为下一步。这与安全测试有什么关系?
安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,应用仍然能够充分地满足他的需求。
安全测试概述--WEB应用
Web应用具有各种各样的形式和规模。他们用各种语言编写,运行在各种操作系统上,已各种方式运行。每种Web应用的核心在于,它的所有功能都是使用http进行通信的,而它的结果通常是采用html格式。输入是使用get、post及类似方法进行通信的。
Web应用是一切使用http进行通信的软件。
注意,要成为Web应用,必须执行某种业务逻辑,输出中必须存在某种可能的变化,必须做出一些判断,否则我们实际上并不是在测试软件。
安全测试概述--WEB应用
通过功能测试,我们设法向用户证明这个软件可以像宣传的那样正常工作。通过安全测试,我们设法使每个人确信,即使面临恶意输入,它仍然可以像宣传的那样正常工作。我们设法模拟真实的攻击和真实的漏洞,同时用这些模拟与我们有限的测试融为一体。
因而,Web安全测试就是使用多种工具,包括手动工具和自动工具,来模拟和激发我们的Web应用活动。
安全测试与功能测试的区别
目标不同:测试以发现BUG为目标,安全测试以发现安全隐患为目标。
假设条件不同:测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面。安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。
思考域不同:测试以系统所具有的功能为思考域。安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。
问题发现模式不同:测试以违反功能定义为判断依据。安全测试以违反权限与能力的约束为判断依据。
安全测试与渗透测试区别
出发点差异:渗透测试是以成功入侵系统,证明系统存在安全问题为出发点;而安全测试则是以发现系统所有可能的安全隐患为出发点。
视角差异:渗透测试是以攻击者的角度来看待和思考问题,安全测试则是站在防护者角度思考问题,尽量发现所有可能被攻击者利用的安全隐患,并指导其进行修复。
覆盖性差异:渗透测试只选取几个点作为测试的目标,而安全测试是在分析系统架构并找出系统所有可能的攻击界面后进行的具有完备性的测试。
安全测试与渗透测试区别
成本差异:安全测试需要对系统的功能、系统所采用的技术以及系统的架构等进行分析,所以较渗透测试需要投入更多的时间和人力。
解决方案差异:渗透测试无法提供有针对性的解决方案;而安全测试会站在开发者的角度分析问题的成因,提供更有效的解决方案。
安全测试相关名词
白盒测试:
根据提测时填写的SVN,持续进行白盒扫描,根据安全测试的规则,扫描代码中的漏洞,这是纯代码级的,不需要应用正常启动,BUG全部修复视为白盒测试通过
黑盒测试:
在白盒测试通过后进行。人工执行一遍项目中所有的业务流程,在执行的过程中进行攻击性测试,BUG全部修复视为黑盒测试通过。
安全测试相关名词
编码方式:数据编码是指把需要加工处理的数据库信息,用特写的数字来表示的一种技术,是根据一定数据结构和目标的定性特征,将数据转换为代码或编码字符,在数据传输中表示数据组成,并作为传送、接受和处理的一组规则和约定。分类:Base64、URL Encode、HexEncode、html Encode、UTF-7…
安全漏洞:是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬
您可能关注的文档
- Visual C++集成开发环境指导.ppt
- Visual FoxProt第二章指导.ppt
- visual foxpro及其应用系统第三章指导.ppt
- Visual FoxPro数据库管理系统填空题的认识.doc
- Visual LISP编程基础的认识.doc
- visual.c++从入门到精通 第18章指导.ppt
- Visual_C++面向对象与可视化程序设计_第11章课件.pptx
- Visual_SourceSafe_2005_安装及使用说明教程的认识.doc
- visualc++使用教程第一章指导.ppt
- VisualDSP++入门指导.ppt
- 四川省德阳市罗江中学2025届高三考前热身化学试卷含解析.doc
- 山东省枣庄现代实验学校2025届高三下学期第五次调研考试化学试题含解析.doc
- 吉林省长春市十一高中等九校教育联盟2025届高三一诊考试生物试卷含解析.doc
- 2025届江苏省盐城市伍佑中学高考仿真模拟化学试卷含解析.doc
- 2025届广西贺州中学高考冲刺押题(最后一卷)生物试卷含解析.doc
- 安徽省池州市贵池区2025届高三第一次模拟考试生物试卷含解析.doc
- 宁夏银川一中2025届高三(最后冲刺)化学试卷含解析.doc
- 广东省广州市增城区四校联考2025届高考压轴卷化学试卷含解析.doc
- 2025届邯郸市第一中学高考生物必刷试卷含解析.doc
- 2025届安徽省安庆市石化第一中学高考仿真卷化学试卷含解析.doc
文档评论(0)