安全测试内容.docx

安全测试内容

前言

一般来说，公司会有专门的安全团队或者风控团队来保障系统的安全，业务角度不需要关心类似SQL注入、CSRF风险、XSS注入等问题，只需要关心和业务强相关的安全问题。要求测试人员在新需求测试阶段完成安全测试，可以尽可能地将安全风险左移，一般来说，漏到线上的安全问题都不可能是小问题进行安全测试需要测试人员足够理解需求涉及的相关资源，哪些资源可能存在安全问题，具体而言可以从以下几个方面入手：

水平越权

小红书A博主，可以越权查询B博主的笔记。测试方法为将A博主请求中的身份凭证替换为B博主的身份，如果接口能够正常返回，说明该接口存在水平越权漏洞。

垂直越权

低权限账户能够使用高权限账号的功能，例如普通用户越权使用了超级管理员的身份，进行用户管理。测试方法是将管理员请求中的身份凭证替换为普通用户的身份凭证，如果接口能够正常返回，说明存在垂直越权漏洞

未登录访问

没有登陆小红书，但是能发表评论。测试方法是将发表评论接口中的身份凭证置空，或者替换为过期的身份凭证，如果接口还能正常返回，说明接口存在未登录访问漏洞

敏感数据过度透出

小红书博主主页只显示用户名，小红书号和ip归属地，抓取该查看用户主页的接口发现，显示了博主的手机号、微信号。测试方法是了解业务实际需要使用哪些敏感信息，没有使用的禁止在返回值中透出

敏感数据未加密

小红书开店铺时需要输入身份证号码，前端对身份证号码进行了加密，但是接口中返回了明文。测试方法是检查需要加密的敏感数据，接口中的返回必须加密。