微信号:testing51testing

介绍:51Testing软件测试网,人气最旺的软件测试技术门户,提供软件测试社区交流,软件测试博客,人才服务,测试沙龙,测试杂志,测试资料下载等全方位信息服务,是国内最专业的软件测试就业培训、企业服务供应商...

【web测试】WEB应用安全扫描测试实例

2014-01-23 17:10 51Testing软件测试网

    1.  背景介绍

  最近在负责客户的电子商务项目,客户方提出要做安全测试。在以往的项目中,我们一般会将此部分外包给第三方的安全公司来做,但其实对于安全性测试并不是那么神秘,对于此,我们尝试自己进行相关的安全性测试。

  对于Web应用的安全性来讲,我们主要考虑的测试点有:SQL注入、XSS跨站、GoogleHacking、访问控制错误、特有漏洞攻击(例如PHP)、上传漏洞攻击、网页篡改挂马等、应用层缓冲区溢出、系统指令被执行等。

  说明一下,WEB应用安全不是IT安全,所以这里不考虑防火墙,OS安全配置等,例如如果你的网站被DDOS不在本文的考虑范围之内。

  另外,本文主要讨论的是如何利用WEB应用安全扫描工具来快速得到安全检测结果,并加以分析,得出相关安全建议,纯手工的WEB应用安全测试手段也不在本文的讨论范围之内。

  2.  测试方案简要说明

  2.1理解相关术语

  SQL注入:SQL注入攻击是由在客户端通过应用程序的输入域插入或注入相关的sql查询组成的。一次成功的sql注入攻击能够从数据库中读取到敏感数据,修改数据库中的数据,插入数据,更新数据或删除数据均成为可能,或是在数据库上执行一些管理操作甚至是执行操作系统命令。

  XSS跨站:XSS攻击指的是恶意攻击者往WEB页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

  GoogleHacking:GoogleHacking是一种利用搜索引擎获取web应用程序弱点和敏感信息的手段。

  2.3 相关风险

  目前大多数公司没有安全测试团队,测试经理在考虑测试方案时应充分考虑测试人员安全测试技术能力对整个测试结果的影响。在开始时应该考虑如何在最短时间内让测试人员掌握手工安全测试方法,安全扫描工具的使用以及具备相关的分析能力。

  从质量的角度考虑,测试人员被动的去测试不如让开发人员在开始开发时就充分考虑如何写出更安全的代码,所以在允许的情况下,开发人员也应该接受相应安全开发培训。

  当然,针对于整个项目周期,时间以及人力成本等因素,也需要综合考虑在安全方面的投入,使项目整体可控。

.......

 
51Testing软件测试网 更多文章 【测试心得】我的海外测试经历之内部测试 【软件测试】数据仓库测试体系初探 【测试漫谈】基于GUI的自动化测试框架漫谈 价值400亿的Bug为什么会发生? 【答题赢新书】《Android开发进阶:从小工到专家》
猜您喜欢 【原译】webpack 2和babel 6的tree-shaking Spring4新特性简述 就业喜报 | 看,他们就业薪资都够二胎奶粉钱了! 野狗Meetup技术沙龙 | 6月18日中关村创业大街3W咖啡 解密IFTTT的数据架构