web安全测试入门

news2024/11/15 18:07:14

参考课程:

04-软件安全测试基础-网络协议基础-网络模型_哔哩哔哩_bilibili 


1.软件安全测试概述

安全测试:

        安全性测试指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程

        导致软件出现安全问题的主要原因或根源是软件的安全漏洞

安全漏洞:

        特指在硬件、软件、协议的在逻辑设计上或具体实现或系统安全策略上存在的缺陷或错误

        漏洞的产生主要是由于程序员不正确和不安全变成引起的        

        不法者可以通过漏洞获取系统额外权限并对系统植入木马、病毒、以窃取系统资料

        威胁到系统安全的错误才是漏洞

安全漏洞危害

        系统完整性:非法串改破坏数据的完整性

        系统可用性:破坏系统或者网络,导致服务不可用

        系统机密性:泄露个人或企业的隐私信息

        系统可靠性:造成系统不能正常提供有效服务

(web安全测试四要素:完整性、可用性、可靠性、可用性)

软件安全测试方法

        代码安全性测试:主要通过对源代码进行安全扫描,根据程序中数据流、控制流、语义等信息与其持有特有软件安全规则库进行匹配,从中找出代码潜在的安全漏洞

        渗透测试:主要使用自动化工具或人工的方法模拟黑客输入,对应用系统进行攻击性测试,从中找出运行时候所存在的安全漏洞

        程序数据扫描:数据扫描手段通常是进行内存测试,内存测试可以发现许多注入缓冲区溢出之类的漏洞,而这类漏洞使用除此之外的测试手段都难以发现

软件安全测试内容:

        功能验证对设计到安全的软件功能进行有效性验证,如管理模块、权限模块、加密系统、认证系统等

        漏洞扫描:安全漏洞扫描主要是借助于特定的漏洞扫描完成的,系统管理员能够发现系统存在的安全漏洞

        侦听技术:也称网络监听,可以获取网络上传输的信息,如果从获取的信息中提取到系统的隐私数据,就存在安全性问题

        模拟攻击:模拟攻击测试是一组特殊的极端的测试方法,以模拟攻击方式来验证软件系统的安全防护能力

软件安全测试的过程:

        基于安全需求,将系统可能面临的安全问题进行分类,画出威胁树,可以针对威胁树选择应对的方法和技术,是未需求分析

        1.基于威胁模型,指定计划

        以口令安全问题威胁树为例,计划就可基于口令安全可能遭受的各种攻击进行制定

        2.规划最小测试单位

        并不是模块整体都有安全问题,只需要关注日哦能够以出问题的最小范围即可

        3.对系统的可能漏洞进行分级

        对系统漏洞按照不同的优先级进行测试

        4.设计安全测试用例

        根据漏洞类型,精心准备数据,设计测试用例进行测试

        5.模拟攻击系统

        根据用例,模拟攻击系统,查看系统的状态

        6.总结执行结果,提出解决方案

        执行用例,得到结果,根据结果现象提出解决方案

安全测试范围:

        服务器本身以及网络环境安全

        web服务器应用的安全

        网站程序安全

        web服务器周边安全应用

0day和1day

        0day:又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,通俗来讲,就是安全补丁与瑕疵曝光的同一日,相关的恶意程序就出现,这种攻击往往具有很大的突发性与破坏性

        0day:就是只有你知道的一个漏洞,1day就是刚刚公布在网络上的漏洞(没有超过一天),nday就是这个漏洞已经被公布很久了

        web安全测试的测试载体是网络协议,而日常生活中最常见的网络协议是http协议

2 网络协议基础

2.1 网络模型

 

 协议数据的网络传输:

        包括两部分:封装与拆解

        发送方从上到下,对要发送的数据进行层层封装

        发送方从下到上,对要接收的数据进行层层拆解

2.2传输层tcp和udp协议

 

 

         端口:用于判断一台电脑上某一个应用程序的标识 

2.3应用层ip协议

 

 2.4应用层http协议

 

 

 2.5 对称加密与非对称加密

 

2.6 摘要技术

 

 

2.7 数字签名技术

 

 

2.8 cookie和session

 

2.9 token 

 

 

 

3 BurpSuite

3.1 BurpSuite 的安装

步骤:

        1.安装jdk8和jdk11,并完成双配置

         2.下载BurpSuite:http://portswigger.net/burp  (需要放在无中文目录的路径下)

        3.安装BurpSuite,选择版本为2.0.11(jdk8即可)

        4.激活BurpSuite

注意:

        1.BurpSuite的安装需要JDK的环境,如果没有安装或者版本不对,则BurpSuite中的key生成不了。

        2.当BurpSuite不用的时候,最好把代理关闭,防止影响网页正常使用

过程可以参考以下链接 

BurpSuite安装&&jdk1.8和jdk14共存_burpsuite java1.8-CSDN博客

链接:https://pan.baidu.com/s/1hsZ4QI5scmwo9TGdwMlylA
提取码:p62x
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2141777.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

网页交互模拟:模拟用户输入、点击、选择、滚动等交互操作

目录 一、理论基础 1.1 网页交互模拟的重要性 1.2 网页交互的基本原理 二、常用工具介绍 2.1 Selenium 2.2 Puppeteer 2.3 Cypress 2.4 TestCafe 三、实战案例 3.1 模拟用户输入 3.2 模拟用户点击 3.3 模拟用户选择 3.4 模拟滚动操作 四、最佳实践与优化 4.1 代…

基于python+django+vue的学生管理系统

作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、SSM项目源码 系统展示 【2025最新】基于协同过滤pythondjangovue…

Python编码系列—Python原型模式:深克隆与高效复制的艺术

🌟🌟 欢迎来到我的技术小筑,一个专为技术探索者打造的交流空间。在这里,我们不仅分享代码的智慧,还探讨技术的深度与广度。无论您是资深开发者还是技术新手,这里都有一片属于您的天空。让我们在知识的海洋中…

C++的IO流(文件部分在这里)

1. C语言的输入与输出 C语言中我们用到的最频繁的输入输出方式就是scanf ()与printf()。 scanf(): 从标准输入设备(键盘)读取数据,并将值存放在变量中。printf(): 将指定的文字/字符串输出到标准输出设备(屏幕)。 注意宽度输出和精度输出控制。C语言借助了相应的缓…

嵌入式开发—CAN通信协议详解与应用(上)

文章目录 1.CAN简介CAN协议的诞生背景CAN协议的发展历程CAN协议的影响CAN通信的主要特点 2.CAN数据帧的帧格式CAN标准数据帧的帧格式CAN标准数据帧的帧格式结构图CAN扩展帧的帧格式CAN遥控帧的帧格式CAN错误帧的帧格式 3.CAN数据传输中的位填充位填充的概念位填充的作用位填充的…

今天中秋,中秋快乐,分析一个中秋月饼的项目

特色功能 使用obj模型,搭配tga文件,附加上颜色 normalMap 是让字和线条看起来更清楚和真实 高光贴图 凹凸贴图 ...... 源码 https://github.com/Lonely1201/lonely1201.github.io/tree/main/Juejin/mooncake 在线预览 https://lonely1201.githu…

将YYYY-MM-DD HH:mm:ss格式化为YYYY-MM-DD (星期一) 下午 ?点

分为凌晨、早上、中午、晚上 function formatDate(inputDate) {const date new Date(inputDate);date.setHours(date.getHours() - 1);const year date.getFullYear();const month date.getMonth() 1; // 月份从0开始const day date.getDate();let hours date.getHours(…

详解:Tensorflow、Pytorch、Keras

这是一个专门对Tensorflow、Pytorch、Keras三个主流DL框架的一个详解和对比分析 一、何为深度学习框架? 你可以理解为一个工具帮你构建一个深度学习网络,调用里面的各种方法就能自行构建任意层,diy你想要的DNN,而且任意指定学习…

用Qt 对接‌百度语音识别接口

一 、前期准备工作 1,搭建好开发环境; 2,注册百度云平台,获取语音相关东西, 短语音识别标准版_短语音识别-百度AI开放平台 (baidu.com) 3,涉及到的Qt 类有 QAudioFormat,QAudioDeviceInfo&a…

JDBC实现对单表数据增、删、改、查

文章目录 API介绍获取 Statement 对象Statement的API介绍使用步骤案例代码 JDBC实现对单表数据查询ResultSet的原理ResultSet获取数据的API使用JDBC查询数据库中的数据的步骤案例代码 API介绍 获取 Statement 对象 在java.sql.Connection接口中有如下方法获取到Statement对象…

线程池是啥有啥用,怎么用,如何自己实现一个

目录 一、线程池是啥,有啥用 二、线程池怎么用 1.构造方法 2.如何使用Java的线程池 三、简单实现一个线程池 假设我是一个(好看有才华) 的妹子,那么我就会有很多追求者,这些也叫备胎们,我们若把他…

71、哪吒开发板试用结合oak深度相机进行评测

基本思想:收到intel的开发板-小挪吒,正好手中也有oak相机,反正都是openvino一套玩意,进行评测一下,竟然默认是个window系统,哈哈

STL-vector练习题

118. 杨辉三角 思路: 杨辉三角有以下性质使我们要用到的: ● 每行数字左右对称,由 1 开始逐渐变大再变小,并最终回到 1。 ● 第 n 行(从 0 开始编号)的数字有 n1 项,前 n 行共有 2n(n1)个数。…

linux重要文件

/etc/sysconfig/network-scripts/ifcfg-eth1 网卡重启 /etc/init.d/network restart ifup ethname & ifdown ethname /etc/resolv.conf 设置Linux本地的客户端DNS的配置文件 linux客户端DNS可以在网卡配置文件(/etc/sysconfig/network/ifcfg-eth0 DNS2)里配置 也可以在/et…

SSY20240916提高组T1题解__贪心+大模拟

题面 题面描述 fe和xt在玩一个游戏, 在 n m n\times m nm的网格图上进行. 定义 ( a , b ) , ( c , d ) (a,b)\;,\;(c,d) (a,b),(c,d)见距离为 ∣ a − c ∣ ∣ b − d ∣ |a-c||b-d| ∣a−c∣∣b−d∣ 现在游戏按照以下步骤进行: xt选择 k k k个格子fe选择一个格子(不能选…

QT + WebAssembly + Vue环境搭建

Qt6.7.2安装工具 emsdk安装 git clone https://github.com/emscripten-core/emsdk.git cd emsdk emsdk install 3.1.50 emsdk activate 3.1.50 Qt Creator配置emsdk 效果 参考 GitHub - BrockReece/vue-wasm: Vue web assembly loader Emscripten cmake多版本编译-CSDN博客 …

【数据结构】排序算法---希尔排序

文章目录 1. 定义2. 算法步骤3. 动图演示4. 性质5. 算法分析6. 代码实现C语言PythonJavaCGo 结语 1. 定义 希尔排序(英语:Shell sort),也称为缩小增量排序法,是[直接插入排序]的一种改进版本。希尔排序以它的发明者希…

优化最长上升子序列

前言&#xff1a;平时我们做的题目都是用动态规划做的&#xff0c;但是有没有能够优化一下呢&#xff1f; 有一个结论&#xff0c;长度为 i 的一个序列&#xff0c;最后一个元素一定是构成长度为 i 的序列中最小的 我们可以用二分来优化 题目地址 #include<bits/stdc.h>…

【设计模式】创建型模式(四):建造者模式

创建型模式&#xff08;四&#xff09;&#xff1a;建造者模式 1.概念2.案例3.优化 1.概念 建造者模式 是一种创建型设计模式&#xff0c;它允许你创建复杂对象的步骤与表示方式相分离。 建造者模式是一种创建型设计模式&#xff0c;它的主要目的是将一个复杂对象的 构建过程…

极速上云2.0范式:一键智连阿里云

在传统上云的现状与挑战&#xff1a; 专线上云太重&#xff0c;VPN上云不稳&#xff0c;云上VPC&#xff0c;云下物理网络&#xff0c;多段最后一公里...... 层层对接&#xff0c;跳跳延迟&#xff0c;好生复杂! 当你试图理解SD-WAN供应商和阿里云的文档&#xff0c;以协调路由…