分类
商品
商品
店铺
资讯
分类
商品
商品
店铺
资讯

3-Web应用安全测试

  • 时间:2019-01-19 18:21 作者:enomothem 来源:enomothem 阅读:292
  • 扫一扫,手机访问
摘要:本篇安全测试知识点是根据《安全测试指南》记录,仅供参考(JSYK)。其主要目的是为了自己所学而记录的笔记。3.1 Web应用安全测试概述? ? 1)什么是Web应用安全测试?? ? ? ? 是一种通过系统地确认和验证应用程序安全控制的有效性,来评预计算机系统或者网络安全的方法。? ? ? ? ? ?

本篇安全测试知识点是根据《安全测试指南》记录,仅供参考(JSYK)。其主要目的是为了自己所学而记录的笔记。

3.1 Web应用安全测试概述

? ? 1)什么是Web应用安全测试?

? ? ? ? 是一种通过系统地确认和验证应用程序安全控制的有效性,来评预计算机系统或者网络安全的方法。? ? ? ? ? ? ? ??

只侧重对web应用安全测试的评估。这个过程包括对应用程序的所有弱点、技术缺陷、漏洞。如发现的评估、建议以及技术方案都提交给系统所有者。

? ? 2)什么是漏洞?

? ? ? ? 漏洞就是系统设计、实现、经营或者管理中的缺陷或者 弱点,可以被用来破坏系统的安全目标。

? ? 3)什么是威胁?

? ? ? ? 威胁是任何(恶意的外部攻击者、内部客户、系统不稳固等)通过利用漏洞来危害应用所拥有资产(有价值的资源,例如数据库或者文件系统中的数据)的因素

? ? 4)什么是测试?

? ? ? ? 测试是一种证实应用满足利益相关者的安全要求的行为。

? ? 5)策略

? ? ? ? OWASP是开放的,和协作的方式。

? ? ? ? 该策略易于形成明确的测试方法。具备一致性、可重现性、严谨性、质量可控性。


3.2 什么是OWASP测试方法

1)测试模型包括

? ? 测试人员:执行测试活动的人

? ? 工具和方法:本测试指南项目的核心

? ? 应用:黑盒测试对象

2)测试分为两个阶段

安全测试素来不是一门严密的科学,可以definition一个所有待测试问题的完整列表。

Actually,安全测试只是一种特定情况下测试web应用程序安全性的正当技术。这个项目的目的就是收集所有可能的测试技术,并加说明、升级。OWASP web应用安全测试基于黑盒测试方法,测试人员对被测试应用一无所知或者只获取一些信息。

? ? 阶段1:被动模式

? ? 被动模式中,测试人员试图了解应用的逻辑并灵活使用应用。测试人员可以使用工具来收集信息。例如,使用HTTP代理商来观察所有的HTTP request and reply。 在此阶段结束时,测试人员应该清楚应用程序的所有接入点,信息的参数、cookies、HTTP标题。

? ? 发现如下链接:https://www.example.com/login/Authentic_Form.html

? ? ? ? ? ? ? ?http://www.example.com/Appx.jsp?a=1&b=1

? ? 阶段2:主动模式

? ? 1信息收集测试

? ? 2配置和部署管理测试

? ? 3身份管理测试

? ? 4认证测试

? ? 5受权测试

? ? 6会话管理测试

? ? 7输入验证测试

? ? 8错误解决测试

? ? 9加密体系脆弱性测试

? ? 10业务逻辑测试

? ? 11用户端测试

关于web安全的知识

https://blog.csdn.net/jien1109/article/details/37879577web安全测试的类型?RainbowGu

  • 全部评论(0)
最新发布的资讯信息
【系统环境|】补单系统搭建补单源码搭建(2022-05-18 11:35)
【系统环境|服务器应用】高端显卡再度登上热搜,竟然是因为“断崖式”的降价(2022-04-12 19:47)
【系统环境|软件环境】一步步教你开发、部署第一个去中心化应用 - 宠物商店(2022-03-15 15:13)
【系统环境|软件环境】循序渐进!一文学会高性能开发十大必需掌握的核心技术。(2022-03-15 15:13)
【系统环境|软件环境】Python游戏开发,pygame模块,Python实现贪吃蛇小游戏(2022-03-15 15:13)
【系统环境|软件环境】Spring Cloud Feign 记录单个服务耗时并处理 Hystrix 线程隔离模式!(2022-03-15 15:13)
【系统环境|软件环境】js数组方法全解(2022-03-15 15:12)
【系统环境|软件环境】字节二面:小伙子你来说下什么是伪共享?如何避免?(2022-03-15 15:12)
【系统环境|软件环境】写了Bug,误执行 rm -fr /*,我删删删删库了,要跑路吗?(2022-03-15 15:12)
【系统环境|软件环境】算法四:数字-复数计算(2022-03-15 15:12)
手机二维码手机访问领取大礼包
返回顶部