发表于: 2018-09-18 21:50:36
1 657
今天完成的事情:
今天开始了支付的测试用例,,上午的话做了一点赚分任务
明天计划的事情:
测试用例:
遇到的问题:
有的图片都没有,感觉应该不太好写
收获:
一.安全测试原则与常见的安全威胁:
1.安全需求:
认证:对认证的用户的请求返回
访问控制:对未认证的用户的权限控制和数据保护
完整性:用户必须准确的收到服务器发送的信息
机密性:信息必须准确的传递给预期的用户
可靠性:失败的频率是多少?网络从失败中恢复需要多长时间?采取什么措施来应对灾难性的失败?(个人理解这个地方应该更偏向于容错容灾测试的范畴)
不可抵赖:用户应该能证明接收到的数据来自特定的服务器
2.常见的安全测试内容
权限控制
SQL注入
URL安全测试
XSS(跨站脚本攻击)
CSRF(跨站请求伪造)
URL跳转漏洞
其他安全方面的考量
接下来,我们以一个C#实现的下常见的MVC架构网站为例,来分析具体的各个安全测试角度。
二.权限控制
权限控制相对来说比较简单,功能测试的过程中也接触过不少,主要就是考虑以下方面:
1.用户权限:我们假设存在两个用户A,B;其中A的权限级别很高,B的权限级别则很低:
只有A能进行的操作,B能不能进行操作;
只有A能看到的页面,B能不能看到;
2.页面权限:
必须登录才能看到的页面,不登录直接访问能否看到?
必须A-B-C的页面,能否直接A-C?
通常来说单纯的权限控制页面测试不复杂,但是因为权限控制和后续的URL跳转、Session等方面结合的比较紧密,所以单独提出来。
安全测试总结下所知道的一些可能被利用的入侵点:
1、SQL注入漏洞
老生常谈了,可以利用漏洞扫描器确定问题的所在,然后使用SPI Dynamics公司的SQL注入器等先进行渗透测试。
2、XSS跨站漏洞
XSS一直是重中之中,我们能做的是不停的扫描,注重问题的解决,在各个开放层面进行扫描。
3、服务器溢出漏洞
此漏洞目前好象比较少,只要管理员勤打补丁基本没事,不过在很多性能测试不过关的网站上问题比较严重。
4、上传漏洞
利用上传漏洞能直接得到WEBSHELL,危害等级终极高,之前比较流行。目前都比较少见了。。我们需要的是对服务器服务的严格把控。
5、DDoS
一般正确的管理员配置可以解决。
6、同服务器漏洞
很多的代理服务器的问题,你的网站做得安全,可是在你的服务器上的另外某些站点做得漏洞百出。因为都是同一个服务器的吧。。 所以别人就会利用别的服务器。提权。 然后得到你的服务器权限。
7、社会工程学
最难防御的问题,在于安全意识本身的加强。
先总结到这里,给自己留下点Memory,之后在此基础上加强。
评论