不测试,不安全 —— 安全测试的重要性!

news2024/11/27 5:35:59

1、 什么是安全测试

安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。

安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。 它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题。

1.1 安全测试举措

  • 保密 - 它可以防止向非预期接收者披露信息。
  • 完整性 - 它允许从发送者向预期接收者传输准确和正确的所需信息。
  • 身份验证 - 验证并确认用户的身份。
  • 授权 - 它指定对用户和资源的访问权限。
  • 可用性 - 确保准备就绪的信息。
  • 不可否认性 - 它确保发送者或接收者不会拒绝发送或接收消息。

1.2 常见的安全漏洞

1.2.1SQL 注入攻击

名词解释:SQL 注入攻击(SQL Injection),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的 SQL 指令的检查,被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,甚至执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

1.2.2 文件上传

名词解析:文件上传漏洞是指由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取 Web 应用的控制权限(Getshell)。

1.2.3 权限漏洞

名词解析:访问控制是指用户对系统所有访问的权限控制,通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞,很难通过日常的安全工具扫描或防护,通常会造成大量用户数据泄露事件。

  • 水平越权:同一权限(角色)级别的用户之间所产生的问题,如 A 用户可以未授权访问 B 用户的数据等。
  • 垂直越权:不同权限(角色)级别的用户之间所产生的问题,如普通用户可未授权进行管理操作,未登录用户可以访问需授权应用等。
现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集的技术文档和视频教程。
如果你不想再体验自学时找不到资源,没人解答问题,坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大牛
分享他们的经验,还会分享很多直播讲座和技术沙龙
可以免费学习!划重点!开源的!!!
qq群号:110685036【暗号:csdn999】

1.2.4 暴力破解

名词解析:暴力破解是指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。随着互联网众多网站的数据库被泄露,攻击者选择的样本可以更具针对性,暴力破解的成功率也在不断上升。

1.2.5 拒绝服务攻击

名词解析:拒绝服务攻击(DoS,Denial of Service)是利用合理的请求造成资源过载,从而导致服务不可用的一种攻击方式。分为针对 Web 应用层的攻击、客户端 / APP 的攻击。

1.2.6 敏感信息泄露

名词解析:敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用,进行诈骗、账户窃取等,给用户和企业带来严重的不良影响。并且信息一旦信息被泄露,影响会很难消除。

1.2.7 业务逻辑漏洞

名词解析:业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞,如用户找回密码缺陷,攻击者可重置任意用户密码;如短信漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,多数需要人工根据业务场景及特点进行分析检测。

1.2.8 跨站脚本攻击(XSS)

名词解析:跨站脚本攻击(XSS, Cross Site Script)通常指黑客通过 “HTML 注入” 篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS 漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS 是目前客户端 Web 安全中最重要的漏洞。

XSS 按效果的不同可以分为以下 3 种。

  • 反射型 XSS 攻击:页面仅把用户输入直接回显在页面或源码中,需要诱使用户点击才能成功。
  • 存储型 XSS 攻击:XSS 攻击代码会被存储在服务器中,由于用户可能会主动浏览被攻击页面,此种方法危害较大。
  • DOM 型 XSS 攻击:通过修改页面的 DOM 节点形成 XSS,严格来讲也可划为反射型 XSS。

1.2.9 跨站点请求伪造(CSRF)

名词解析:跨站点请求伪造(CSRF, Cross Site Request Forgery)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品、转账、修改资料甚至密码等。

2 为什么要做安全测试

提到安全。我们一个产品一个网站最需要加强安全防范的就是数据库。那么如果缺少了安全性测试,在高手的 sql 盲注下,你的数据库就会逐步展现在黑客的面前,无论是数据库类型、表结构、字段名或是详细的用户信息,都有无数种手段可以让人 “一览无余”。

2.1 权限

网站一般都规定了什么样的用户可以做什么事。比如版主可以修改所有人的帖子,而你普通用户只能编辑自己的帖子,同样游客只能看大家的帖子。这就是简单的权限。如果少了安全性保证,那么就容易有人跳出权限做他不该做的事情。

2.2 修改提交数据信息

比如一个支付商城,如果通过抓包抓到的提交价格,经过修改再发包可以通过。简单来说就是本来 100 块钱买的东西,抓包修改为 1 块就能成功购买。这就成为了一个巨大的隐患。

2.3 类似跨站脚本的安全隐患

  • HTML 注入。所有 HTML 注入范例只是注入一个 JavaScript 弹出式的警告框:alert (1)。
  • 做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了 HTML 代码的页面链接时攻击者能作的各种的恶意事情。
  • 诱捕受害者,可能会 redirect 到另一个钓鱼的其他网站之类的,使其蒙受损失。

2.4 敏感词的校验

比如一个政府部门的一个网站或者 app,里边可以输入一些有违目前制度以及一些领导人的词汇的问题,这样的影响是非常大的,所以我们要避免这些影响的发生。

3 如何来做安全测试

安全测试是在 IT 软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,可以说,安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命周期各个阶段的安全测试,如下图所示。

上图中的风险分析、静态分析、渗透测试都属于安全测试的范畴,与普通测试相比,安全测试需要转换视角,改变测试中模拟的对象。下面从以下维度比较常规测试与安全测试的不同。

3.1 测试目标不同

普通测试以发现 Bug 为目标;安全测试以发现安全隐患为目标。

3.2 假设条件不同

普通测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面;安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。

3.3 思考域不同

普通测试以系统所具有的功能为思考域;安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用和数据自身安全风险与安全属性等。

3.4 问题发现模式不同

普通测试以违反功能定义为判断依据;安全测试以违反权限与能力的约束为判断依据。

4 工作中的总结

4.1 敏感词校验

步骤:

  • 对小程序、h5、官网带输入框的进行敏感词输入、搜索。

小程序校验:

官网校验:

  • 验证是否对敏感词有拦截,如有拦截则正常,如不能拦截则存在安全问题。

4.2 明文传输

对系统传输过程中的敏感内容是明文 & 密文进行检查,设计到的模块:登录、支付、注册的手机号、身份证、邮箱。

步骤:

  • 对传输敏感信息场景进行抓包。
  • 分析其数据包中的相关敏感字段是否为明文。

例如接口中手机号、座机号、姓名都是明文:

4.3 越权访问

测试是否可以通过 url 直接获取管理员和其他用户信息。

步骤:

  • 查看 url 中是否存在 admin/user/system/pwd 等敏感目录。
  • 当系统存在多个不同权限的管理员时,看低权限的管理员能不能访问到高权限的管理的资源。
  • 当系统存在多个需要登录用户,用 A 用户进行登录,记录所浏览的个人资源的 url 和修改删除的操作;退出 A 用户后,登录 B 用户,使用所记录的 url 来直接访问,看是否可以访问成功或者操作成功。

4.4 非法注入

测试系统是否对输入进行过滤和转移,设计到的模块:搜索框、输入框、备注信息、上传文件、URL、输入框、备注信息。

步骤:

  • 在系统的 URL 地址后面,输入测试语句:看是否会有弹框展示。
  • 在搜索框、输入框、备注信息中输入测试语句: 看是否会有弹框展示。
  • 官网校验如图:

4.4.1 上传文件

步骤:

  • 在上传的文件中输入:,文件名为 test。
  • 点击上传,查看上传接口,将上传的文件名改为 html 文件,然后访问该文件,如可以访问则存在问题,如不能访问则正常。

4.4.2 文件下载

步骤:

  • 点击文件下载,查看文件下载接口并进行记录。
  • 修改文件下载接口,例如 xxxxx 下载接口 /../ 对路径进行跳转尝试下载其他目录下的文件,看是否可以正常下载,如可以下载则存在问题,如果不能下载则正常。

4.5 短信、邮箱验证

涉及到的模块:触发短信、邮箱验证码的相关场景。

步骤:

  • 操作密码找回、获取验证码获取功能,记录该获取接口。
  • 频繁调用密码找回、验证验证码接口,看是否存在拦截,以防短信被刷。
  • 查看验证码接口,看是否可以通过接口截取到验证码信息。
  • 如下京东快递 h5,短信防刷如图所示:

4.6 密码健壮性

测试密码、验证码验证方式是否可靠,是否可以被暴力猜测直到命中。

步骤:

  • 登录是接入公司的统一登录 passport,可忽略。
  • 验证码的场景,使用抓包工具,修改接口中的密码、验证码,多次尝试输入错误的验证码,如果没有输入次数上限可以暴力猜测直到命中,则存在漏洞。

4.7 数据安全

检测系统中敏感数据的存储是否安全。

步骤:

  • 检查敏感数据是否加密存储,检查对应的数据库表,防止拖库后信息泄露。
  • 检查敏感数据在操作界面是否进行了脱敏操作,例如:密码的显示隐藏选项、手机号、身份证号的展示等。
  • 检查数据设置是否安全,检查在输入设计钱财的边界值,是否可以输入符合和是否超过最大的数额。
  • 定期检测数据库中敏感数据是否做了脱敏处理:

4.8 支付相关

设计到的场景模块:先揽后付、达达支付、协商再投。

步骤:

  • 例如在线支付、达达支付、协商再投在调取收银台、微信支付时,查看支付接口的调用。
  • 查看支付页面金额是否正确,是否存在负数的情况。
  • 查看支付接口,看是否可以通过接口截取到支付密码信息。

最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走!

软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
 

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1267166.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

中兴小鲜50 ZTE 畅行50 刷机救砖演示机7543n root 虎贲 展锐 T760 解锁BL

系统信息 网络制式 支持中国移动、中国电信、中国联通、中国广电四大运营商5G频段;支持4G/3G/2G 系统平台 MyOS 13.0(基于Android 13) 硬件信息 处理器 展锐T760,高性能8核5G芯片 存储 6GB RAM128GB ROM 扩展 不支持 电池容…

centos7内核升级(k8s基础篇)

1.查看系统内核版本信息 uname -r 2.升级内核 2.1更新yum源仓库 yum -y update更新完成后,启用 ELRepo 仓库并安装ELRepo仓库的yum源 ELRepo 仓库是基于社区的用于企业级 Linux 仓库,提供对 RedHat Enterprise (RHEL) 和 其他基于 RHEL的 Linux 发行…

【算法萌新闯力扣】:环形链表及环形链表II

力扣题目:环形链表及环形链表II 开篇 今天是备战蓝桥杯的第26天和算法村开营第4天。挑选了链表的黄金关卡与大家分享。 题目一:环形链表 题目链接: 141.环形链表 题目描述 方法一、哈希表 判断是否有环,可以利用哈希表,遍历…

视图层与模板层

视图层 1 视图函数 一个视图函数,简称视图,是一个简单的Python 函数,它接受Web请求并且返回Web响应。响应可以是一张网页的HTML内容,一个重定向,一个404错误,一个XML文档,或者一张图片. . . 是…

CSS特效021:蛇形左右扭动的效果

CSS常用示例100专栏目录 本专栏记录的是经常使用的CSS示例与技巧,主要包含CSS布局,CSS特效,CSS花边信息三部分内容。其中CSS布局主要是列出一些常用的CSS布局信息点,CSS特效主要是一些动画示例,CSS花边是描述了一些CSS…

互联网洗鞋店小程序怎么做,流程有哪些?

洗鞋店小程序让洗鞋更便捷高效,用户只需通过手机预约,即可享受上门取送服务,省时省力,让鞋子焕然一新。下面我们详细介绍这个小程序的功能: 1. 轻松预约:用户可以随时随地通过洗鞋店小程序预约洗鞋服务&…

【理解ARM架构】异常处理

🐱作者:一只大喵咪1201 🐱专栏:《理解ARM架构》 🔥格言:你只管努力,剩下的交给时间! 目录 ⚡ARM系统中异常与中断处理流程🍢向量表🍢保存现场🍢恢…

Mendix组件推荐:灵活的在线表格

- 视频 mendix在线表格.mp4 20.95MB - 客户需求 如果你是一个中小型企业的负责人,你可能面临着: 多人协作录入数据展示数据库中的数据对数据安全有要求、希望本地离线部署并且IT人员配置有限等挑战 为了更好地管理你的业务数据,你需要一个…

【IEEE出版】2024年第四届消费电子与计算机工程国际学术会议(ICCECE 2024)

2024年第四届消费电子与计算机工程国际学术会议(ICCECE 2024) 2024 4th International Conference on Consumer Electronics and Computer Engineering 进入21世纪以来,计算机技术的高速发展带来了消费电子产品的快速更迭。在技术迅速发展历…

WMS仓储管理系统的实施流程是什么

WMS仓储管理系统是现代企业不可或缺的重要工具,它可以有效地优化仓库管理,提高工作效率,减少误差。但是,实施WMS仓储管理系统并不是一件轻松的事情,需要经过一系列的步骤来确保其成功实施。本文将详细介绍WMS仓储管理系…

建立健全涉密测绘外业安全保密管理制度,落实监管人员和保密责任,外业所用涉密计算机纳入涉密单机进行管理

建立健全涉密测绘外业安全保密管理制度,落实监管人员和保密责任,外业所用涉密计算机纳入涉密单机进行管理 1.涉密测绘外业安全保密管理制度 2.外业人员及设备清单(包括:外业从业人员名单、工作岗位,外业设备名称、密…

【网络安全】-安全常见术语介绍

文章目录 介绍1. 防火墙(Firewall)定义通俗解释 2. 恶意软件(Malware)定义通俗解释 3. 加密(Encryption)定义通俗解释 4. 多因素认证(Multi-Factor Authentication,MFA)定…

如何在ASO优化策略中确定季节性的框架

由于我们全年都需要考虑许多季节性事件,因此可能会让人不知所措,我们需要遵循一个清晰的框架来在ASO策略中处理季节性事件。 1、进行应用的研究。 确定与我们应用或游戏相关的所有季节性事件。查看所有三种类型:假期、行业活动和预期的特定于…

dockerfile介绍与使用

文档:https://docs.docker.com/engine/reference/builder/ dockerfile介绍 dockerfile是什么 Dockerfile是一个创建镜像所有命令的文本文件, 包含了一条条指令和说明, 每条指令构建一层, 通过 docker build命令,根据Dockerfile的内容构建镜像,因此每一条指令的内…

商品橱窗和抖音小店有什么区别?新手应该选择哪一个?

我是电商珠珠 在抖音小店内,有两种经营方式,一种是商品橱窗,还有一种是抖音小店。 很多人会将他们混之一谈,说开抖店需要粉丝,商品橱窗不用。 事实真的是这样吗? 接下来,我就来给大家讲讲二…

UE Web Remote Control

前言 最近在研究UE自启WEB服务和网页通信以此来通过网页与UE进行数据交互,这样最好的方式就是可以摒弃掉整个繁琐的通信连接流程如TCP UDP,但是找到的一些方法都不是很适用,尤其是WEBUI这个插件它只适合内嵌到UE本身才能完成交互,…

PCB设计注意事项

四个二极管不能省略 pwm波跟电机频率不要是倍频 运放越靠近取样电阻越好 反向输入端跟输出端很敏感,有寄生电容就容易震荡 距离取样电阻近就会距离单片机远,那么线上会有寄生电容,这时候在输出端接一个10k电阻到地

压缩字符串II

null备战技术面试?力扣提供海量技术面试资源,帮助你高效提升编程技能,轻松拿下世界 IT 名企 Dream Offer。https://leetcode.cn/problems/string-compression/description/ 给你一个字符数组 chars ,请使用下述算法压缩&#xff…

高档建筑覆膜板,胶水足表面光滑

在建筑材料行业,选择高质量的建筑覆膜板至关重要。贵港市能强优品木业是专业从事建筑覆膜板生产销售25年的源头工厂。这家工厂一直以来致力于生产出色的覆膜板,以确保建筑物外观精美,持久耐用。 无论是商业大楼还是家庭住宅,外墙装…

PingCAP 被评为 Translytical Data Platforms 2023 全球技术领导者

近日,PingCAP 在全球化商业咨询公司 Quadrant Knowledge Solutions 公布的 SPARK Matrix for Translytical Data Platforms 中,被评为 2023 年全球 Translytical Data Platforms 技术领导者 。Translytical Data Platforms 可以帮助金融科技、电子商务、…