web测试安全篇.ppt

Web测试 : 安全篇 胡胜强 Web安全测试定义 Web安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，web系统应用仍然能够充分地满足它的需求。 《web安全测试》 安全测试概述 据美国中情局前职员爱德华·斯诺登爆料：“棱镜”窃听计划，始于2007年的小布什时期，美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。 安全测试概述 安全测试概述 安全测试概述 我们遵循普通用户所采取的方法来测试应用的功能。如果我们不确定与其行为是什么，通常也会通过询问别人、阅读需求或者使用我们的直觉的方法知道。负面测试遵循一些从正面测试中自然而直接地获取的原则。我们知道银行的存款不应该是负值；密码不应该是1MB的JPEG图片；电话号码中不应该包含字母。随着我们对应用进行并建立起正面的功能测试，建立反面测试就自然而然成为下一步。这与安全测试有什么关系？ 安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，应用仍然能够充分地满足他的需求。 安全测试概述--WEB应用 Web应用具有各种各样的形式和规模。他们用各种语言编写，运行在各种操作系统上，已各种方式运行。每种Web应用的核心在于，它的所有功能都是使用http进行通信的，而它的结果通常是采用html格式。输入是使用get、post及类似方法进行通信的。 Web应用是一切使用http进行通信的软件。 注意，要成为Web应用，必须执行某种业务逻辑，输出中必须存在某种可能的变化，必须做出一些判断，否则我们实际上并不是在测试软件。 安全测试概述--WEB应用 通过功能测试，我们设法向用户证明这个软件可以像宣传的那样正常工作。通过安全测试，我们设法使每个人确信，即使面临恶意输入，它仍然可以像宣传的那样正常工作。我们设法模拟真实的攻击和真实的漏洞，同时用这些模拟与我们有限的测试融为一体。 因而，Web安全测试就是使用多种工具，包括手动工具和自动工具，来模拟和激发我们的Web应用活动。 安全测试与功能测试的区别 目标不同：测试以发现BUG为目标，安全测试以发现安全隐患为目标。 假设条件不同：测试假设导致问题的数据是用户不小心造成的，接口一般只考虑用户界面。安全测试假设导致问题的数据是攻击者处心积虑构造的，需要考虑所有可能的攻击途径。 思考域不同：测试以系统所具有的功能为思考域。安全测试的思考域不但包括系统的功能，还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。 问题发现模式不同：测试以违反功能定义为判断依据。安全测试以违反权限与能力的约束为判断依据。 安全测试与渗透测试区别 出发点差异：渗透测试是以成功入侵系统，证明系统存在安全问题为出发点；而安全测试则是以发现系统所有可能的安全隐患为出发点。 视角差异：渗透测试是以攻击者的角度来看待和思考问题，安全测试则是站在防护者角度思考问题，尽量发现所有可能被攻击者利用的安全隐患，并指导其进行修复。 覆盖性差异：渗透测试只选取几个点作为测试的目标，而安全测试是在分析系统架构并找出系统所有可能的攻击界面后进行的具有完备性的测试。 安全测试与渗透测试区别 成本差异：安全测试需要对系统的功能、系统所采用的技术以及系统的架构等进行分析，所以较渗透测试需要投入更多的时间和人力。 解决方案差异：渗透测试无法提供有针对性的解决方案；而安全测试会站在开发者的角度分析问题的成因，提供更有效的解决方案。 安全测试相关名词 白盒测试： 根据提测时填写的SVN，持续进行白盒扫描，根据安全测试的规则，扫描代码中的漏洞，这是纯代码级的，不需要应用正常启动，BUG全部修复视为白盒测试通过 黑盒测试: 在白盒测试通过后进行。人工执行一遍项目中所有的业务流程，在执行的过程中进行攻击性测试，BUG全部修复视为黑盒测试通过。 安全测试相关名词 编码方式：数据编码是指把需要加工处理的数据库信息，用特写的数字来表示的一种技术，是根据一定数据结构和目标的定性特征，将数据转换为代码或编码字符，在数据传输中表示数据组成，并作为传送、接受和处理的一组规则和约定。分类：Base64、URL Encode、HexEncode、html Encode、UTF-7… 安全漏洞：是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入