- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
软件安全性测试(连载2)
2. 完整性(Integrity) 完整性则要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名。 1 同源策略 URL 同源 原因 http://www.3testing.com/dir1/1.html 同源 http://www.3testing.com/dir2/2.html 同源 https 2.html是同源的。 www.mydomain.com/hello.js">
1.8 HTTP协议简介 由于本章主要介绍基于WEB的安全测试知识 响应包 HTTP的响应代码概要如2所示 2 HTTP响应代码概要表 响应代码 内容 1XX 指示信息---表示接收到请求,继续进程 2XX 成功---表示请求已被成功接收、理解和接受 3XX
79740发布于 2019-12-12 - 来自专栏啄木鸟软件测试
WEB安全性测试
它主要测试模块的调用与返回。 1、检查接口返回的数据是否与预期结果一致。 2、检查接口的容错性,假如传递数据的类型错误时是否可以处理。例如上面的例子是支持整数,传递的是小数或字符串呢? 4、接口的性能,接口处理数据的时间也是测试的一个方法。牵扯到内部就是算法与代码的优化。 5、接口的安全性,如果是外部接口的话,这点尤为重要。 web接口测试又可分为两类:服务器接口测试和外部接口测试。 服务器接口测试:是测试浏览器与服务器的接口。 对于web接口测试来说有哪些测试要点: 1、请求是否正确,默认请求成功是200,如果请求错误也能返回404、500等。 2、检查返回数据的正确性与格式;json是一种非常创建的格式。 3、接口的安全性,一般web都不会暴露在网上任意被调用,需要做一些限制,比如鉴权或认证。 4、接口的性能,web接口同样注重性能,这直接影响用户的使用体验。
1.9K40发布于 2019-12-11 - 来自专栏只喝牛奶的杀手
Web安全性测试介绍
安全性测试主要是指利用安全性测试技术,在产品没有正式发布前找到潜在漏洞。找到漏洞后,需要把这些漏洞进行修复,避免这些潜在的漏洞被非法用户发现并利用。 具体来说,安全性测试主要包括以下几个部分内容: 认证与授权 Session与Cookie DDOS拒绝服务攻击 文件上传漏洞 XSS跨站攻击 SQL注入 认证与授权 尽量避免未被授权的页面可以直接访问 2)形成攻击联盟 很多人联合起来对同一个网站发起攻击,对网站流量形成一定压力,对同一网站造成伤害。 关于上传测试点: 1. 上传文件是否有格式限制,是否可以上传exe文件。 2. SQL注入的方法措施: 从测试人员角度来说,在需求阶段时,我们就应该有意识的将安全性检查应用到需求测试。
1.9K20发布于 2019-09-02 - 来自专栏搜狗测试
Web安全性测试介绍
安全性测试主要是指利用安全性测试技术,在产品没有正式发布前找到潜在漏洞。找到漏洞后,需要把这些漏洞进行修复,避免这些潜在的漏洞被非法用户发现并利用。 具体来说,安全性测试主要包括以下几个部分内容: 认证与授权 Session与Cookie DDOS拒绝服务攻击 文件上传漏洞 XSS跨站攻击 SQL注入 认证与授权 尽量避免未被授权的页面可以直接访问 2)形成攻击联盟 很多人联合起来对同一个网站发起攻击,对网站流量形成一定压力,对同一网站造成伤害。 关于上传测试点: 1. 上传文件是否有格式限制,是否可以上传exe文件。 2. SQL注入的方法措施: 从测试人员角度来说,在需求阶段时,我们就应该有意识的将安全性检查应用到需求测试。
1.2K50发布于 2019-06-01 - 来自专栏啄木鸟软件测试
软件安全性测试(连载26)
5 本章总结 5.1 介绍内容 •软件安全知识概要 Ø软件安全分类 Ø软件安全性与便捷性 Ø白帽子黑客、黑帽子黑客 Ø白帽子兵法 u默认规则 u纵深防御原则(Defense in Depth) u数据与代码分离原则 u CSRF防护方法 Ø点击劫持 ØHTML5的安全 u
72820发布于 2020-02-19 - 来自专栏啄木鸟软件测试
软件安全性测试(连载4)
XSS测试方法 1)容易出现XSS注入的地方 XSS测试就是在容易出现XSS注入的地方输入被测代码,提交后观察其显示是否会触发JavaScript脚本。 常用的XSS测试JavaScript脚本主要就下面两个。 返回的数据可选项window.attachEvent()…留言板document.location.replace() 评论区document.location.assign() 用户信息… … 2) 3)测试技巧 下面来介绍几个XSS注入的测试技巧。 ①绕过长度 见下面代码。 Ø IE浏览器对URL的最大限制为2,083个字符。 Ø Firefox浏览器URL的长度官方限制为65,536个字符。
85720发布于 2019-12-23 - 来自专栏啄木鸟软件测试
软件安全性测试(连载17)
page=home" target="_blank">测试之家 访问index.php,显示home.php,点击任意一个超级链接,显示如下内容。 /index2.jsp?pages=page1.txt,显示page2内容。 3.文件包含漏洞测试方法 有效测试文件包含漏洞的方法是静态扫描和代码审查。 另外也可以借助类似BurnSuite工具来进行文件包含漏洞的测试。 4.文件包含漏洞防护方法 文件包含漏洞的防护可以总结为以下几点。 l确保外部包含是不能被用户控制的。 顾翔老师与云测学院联合推出:软件测试分析与设计,请点击https://v.youku.com/v_show/id_XNDQ3MzkyNjk3Ng==.html?
73610发布于 2020-01-17 - 来自专栏啄木鸟软件测试
软件安全性测试(连载7)
opacity:0.1; filter: alpha(opacity=0); } .btn { display: inline-block; padding: 2px burlywood; color: #fff; position: absolute; top: 221px; left: 766px; z-index: 2;
71910发布于 2019-12-23 - 来自专栏啄木鸟软件测试
软件安全性测试(连载6)
2. CSRF注入分类及攻击方法 CSRF注入可以分为GET注入和POST注入。 1)GET注入 在CSRF注入介绍介绍的就是GET注入,再看下面一个例子。 2)POST注入 以下为一个程序的登录代码 <formclass="form-signin" method="post" action="/login_action/"onsubmit=javascript ="id_password">
<input type= "submit" value= "提交" requiredid="id_password"> </form> 对这个代码建立对应的接口测试代码 CSRF注入测试方法 CSRF注入可以用CSRFTester工具进行测试,详细请参见本书下篇6.2.1节。 4. 14 CSRF Token在前后端分离中的解决方案 2)其他方法 但是这个方法是防君子不防小人的,有经验的工程师可以构造接口测试代码,将cooiles的值与hidden中的值设置为一样的,然后提交,可以通过假84920发布于 2019-12-23 - 来自专栏啄木鸟软件测试
软件安全性测试(连载18)
2)测试方法 获取另一个用户的可能存在水平越权的URL,以自己的身份登录,在浏览器URL中输入获取的URL,验证是否真正存在水平越权。 3)防护方法 在程序中做好水平越权控制,见如下代码。 2. 垂直越权 垂直越权是指低权限的用户执行高权限用户的操作行为。 2)测试方法 获取高级权限用户的可能存在垂直越权的URL,以自己的身份登录,在浏览器URL中输入获取的URL,验证是否真正存在垂直越权。 3)防护方法 在程序中做好垂直越权控制,见如下代码。 情形2:审核员在审核一篇博文,作者在审核期间删除了这篇博文,审核员在审核决策后页面上出现了数据库不存在这条信息的信息,且里面包含着一些数据库的日志信息。 情形2和情形3:处理情形1中加入博文 “审核中”的状态,作者不允许修改或者删除外。还可以在审核员审核决定后提示“该博文已经被作者XXX修改(删除),请与他(她)联系…,本次审核失效”。
84620发布于 2020-02-13 - 来自专栏啄木鸟软件测试
软件安全性测试(连载21)
SSL(Transport Layer Security)安全套接字层协议,TLS传输层安全性。SSL有v1.0、v2.0、v3.0和v3.1 4个版本号,其中仅有v3.1版本是安全的。 下面从安全服务设计、服务端安全证书配置和服务器协议和密码设置来进行讨论基于HTTPS协议的安全性。 1)安全服务设计 l 在任何地方都要使用SSL/TLS进行安全传输。包括内部网络和外部网络。 l 使用FIPS 140-2验证的加密模块。建议使用FIPS 140-2加密TLS。 案例4-9 找回密码安全用例设计 下面是找回密码安全测试的测试点。 l 在设置新的密码前是否有安全信息认证? l 是否通过多种方式找回密码? 以上的测试点并不是很全面,建议读者在自己团队里采取头脑风暴的形式找到更多的测试点。
1.8K10发布于 2020-02-19 - 来自专栏啄木鸟软件测试
软件安全性测试(连载1)
1.1软件安全分类 软件安全性包括软件功能安全性和软件信息安全性。软件功能安全性是指当软件发生故障的时候,会自动切换到安全模式。 ,但是安全性肯定比前者高更多。 2)最小权限原则 最小原则是指为了安全考虑,只有特定的对象仅可以访问某一个或一类特定的元素。 2是核安全纵深防御措施图。3是XXE漏洞防护方法图。 ? 2 核安全纵深防御措施 ? 3 XXE漏洞纵深防护方法 3. 星云测试 http://www.teststars.cc 奇林软件 http://www.kylinpet.com 联合通测 http://www.quicktesting.net 顾翔凡言: 图是软件项目三角形
95510发布于 2019-12-11 - 来自专栏啄木鸟软件测试
软件安全性测试(连载19)
一般而言加密密钥为私有的,而解密密钥为共有的,由于对称加密加解密密钥相同,所以安全性是比较差的。38是一个非对称加密过程。 ? ECDSA椭圆曲线指的是满足表达式y2=x3+ax+b,且这里-16(4a3+27b2)≠0。假设a=-1,b=+1,这是表达式y2=x3+ax+b变为y2=x3-x+1。 4)区块链的测试 2018年10月11日,中国区块链的评测标准出台,内容包括以下14项内容。 l 数据处理的基本功能。 l 节点管理功能。 l 身份认证功能。 l 查询历史数据功能。 以下是区块链测试的重点。 l 转账,向单/多签名地址转账,向脚本转账。 l 如果对币的机制有修改,需要进行双花攻击测试。(双花攻击又称51%攻击,因某个矿工或者矿池将一个加密货币多次支付而得名。 通常,其目的并不仅是为了重复使用加密货币,而是为了攻击某个区块链网路,破坏它安全性,让它失去人们的信任。) l 智能合约功能及安全测试。 l 打包及交易确认效率。 对于区块链性能测试的考虑点。
82920发布于 2020-02-19 - 来自专栏啄木鸟软件测试
软件安全性测试(连载22)
•方法2。限制请求次数。比如新浪博客,一小时内最多只能发表博文10篇,如图4-51所示。 ? 图4-51 新浪博客,一小时内最多只能发表博文10篇 •方法3。使用验证码。 测试人员也可以通过编写自动化功能测试脚本,基于GUI的或者基于接口的都可以(第9章将进行详细介绍),利用循环语句来测试代码是否对DDOS攻击做好防范。 self.url="http://localhost:8000/login_action/" self.token ="RNF3Y04qFeJkMwCDsTMn4gfMcyfQ2vUjXbcENLADEFyCSRp1pBdezZKwHhlSwqgE self.assertIn("电子商务系统" ,str(data.text)) if __name__=='__main__': #构造测试集 IOException{ request.getRequestDispatcher("wellcome.html").forward(request,response); } } 2)
91330发布于 2020-02-19 - 来自专栏云原生技术社区
Kubernetes集群的安全性测试
本文探讨了Kubernetes集群安全性测试的重要方面,强调了在当前情景下其重要性。 我们探讨了不同的安全性测试方法,包括静态分析安全性测试(SAST)、动态应用程序安全性测试(DAST)、容器镜像扫描、Kubernetes配置审计和网络策略测试。 理解安全性测试 安全性测试是软件开发生命周期中的重要步骤,旨在发现和解决应用程序或系统内潜在的漏洞、威胁和风险。 2. 将所选工具集成到您的CI/CD流程中,确保每个新构建在部署之前都经过静态分析。 3. 检查测试运行结果,并及时解决识别出的任何问题,以减小风险暴露。 制定代表不同威胁场景的测试用例,基于您的应用程序架构和风险概况。 2. 使用诸如Cilium CLI或CalicoCTL之类的工具,根据定义的规则集在Pod之间发送数据包来模拟这些场景。 3.
60820编辑于 2023-09-07 - 来自专栏啄木鸟软件测试
软件安全性测试(连载10)
2)获得MySQL的元信息 正如上一节讲到,可以通过联合查询来或者数据库的元信息。 id=3union all select 1,2,3 from user刺探,没有出现错误信息,且出现了一堆如25一堆“用户名:2,密码:3”信息,说明当前表名为user。 ? id=3 union all select 1,2, name from user),显示类似如26信息,表示猜到了存在一个字段名为user,并且可以看见所有这个字段下的字段名。 ? ...unionselect1,load_file(0x2F6563742F706173737764),3,4,5,6 0x2F6563742F706173737764为'/etc/passwd'十六进制格式 rows in set (0.00 sec) 0x2c为逗号。
1.1K20发布于 2019-12-26 - 来自专栏啄木鸟软件测试
软件安全性测试(连载20)
2. 认证防护 对于一个WEB系统,一般都是通过注册用户,然后用注册的信息登录系统来进行认证的。在这个过程中会需要考虑以下几点。 1)密码的强度 ① 从长度上考虑 一般认为如下密码为弱密码。 l 连续相同字符不超过2个。 以下密码是安全的:“LongLongago@thereliveaking”“1@$Smail$@1”。 2)忘记密码后需要采取的措施 正如第2.13-5 密码节找回所述,由于密码的复杂性,几乎所有的系统都提供密码找回功能,除了第2.13-5 密码节讲述的注意事项外,还需要掌握哪些事项呢,在这里作进一步的介绍 2)sessionID注意事项 使用sessionID需要注意以下四点。 l 对于sessionID的生成和验证,有宽松和严格两种方式,默认的为严格方式。 以下表示不允许名为session1与session2的session提供缓存。Cache-Control:no-cache="session1, session2"。
93810发布于 2020-02-19 - 来自专栏啄木鸟软件测试
软件安全性测试(连载15)
顾翔老师的《软件测试技术实战设计、工具及管理》网上购买地址: https://item.jd.com/34295655089.html 《基于Django的电子商务网站》网上购买地址: https:// 2. PHP命令执行 1)通过eval()函数执行命令 index.php <?php eval($_REQUEST['code']); ? php $arr = $_GET['arr']; $array = array(1,2,3,4,5); $new_array =array_map($arr,$array); ? 顾翔老师与云测学院联合推出:软件测试分析与设计,请点击https://v.youku.com/v_show/id_XNDQ3MzkyNjk3Ng==.html? spm=a2hzp.8244740.0.0,收看。有不同观念欢迎与顾翔老师交流!
85470发布于 2020-01-17 - 来自专栏啄木鸟软件测试
软件安全性测试(连载16)
顾翔老师的《软件测试技术实战设计、工具及管理》网上购买地址: https://item.jd.com/34295655089.html 《基于Django的电子商务网站》网上购买地址: https:// >
<ahref="index<em>2</em>.php">XXE2 也可以使用JAVA程序获取。 4.XXE的测试方法及防护方法 对于XXE测试,作者认为最好是基于代码通过静态扫描和代码审核的方法,或者可以借助类似BurnSuite工具来进行文件包含漏洞的测试。 顾翔老师与云测学院联合推出:软件测试分析与设计,请点击https://v.youku.com/v_show/id_XNDQ3MzkyNjk3Ng==.html? spm=a2hzp.8244740.0.0,收看。有不同观念欢迎与顾翔老师交流!52750发布于 2020-01-17 - 来自专栏啄木鸟软件测试
软件安全性测试(连载25)
4 安全测试流程 做安全测试的时候,首先请把白盒测试和黑盒测试遗忘掉,因为大部分安全测试是基于白盒测试和白盒测试与黑盒测试之间的灰盒测试。Web安全测试与其他测试一样,应该贯穿于软件开发始终。 案例4-10 电子商务系统的安全测试流程 电子商务系统参见附录A。 4.1 需求阶段 在需求阶段,需要做如下工作。 •根据产品类型评价安全性级别。 •确定各功能的安全性优先等级。 •分析可能存在何种安全性问题。 1. 根据产品类型评价安全性级别 根据《XXX公司安全界别评定规则》,电子商务网站属于II级。 2. 确定各功能的安全性优先等级 根据讨论,电子商务各大模块的安全优先级如下。 •第1级。支付模块。 •第2级。用户模块。 •第3级。订单模块。 •第4级。收货地址模块。 •第5级。 密码不得低于8位,且必须包含数字和字母(至少一位大写)•采用SM2加密算法•数据存储采用SHA256+盐存储•使用安全的认证防护措施•使用安全的会话管理 DDOS攻击 •采用验证码•一天不得注册五个账号
93220发布于 2020-02-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号