安全测试策略:重点关注场景中的数据伪造、明文、xss注入、sql注入
1.用户权限测试
2.URL安全测试
3.参数提交安全测试
4.session测试
5.cookie安全测试
6.错误代码分析测试
7.代码注入测试
可修改页面代码请求测试,也可以在参数中植入源代码进行测试
8.会话变量泄露测试
9.记住密码和重置密码测试
10.可猜测用户账户遍历测试
11.密码和验证码暴力激活成功教程测试
12.绕过授权模式测试
13.认证模式绕过测试
14.文件拓展名处理测试
15.业务逻辑测试
16.用户枚举测试
工具:
Burp Suite:安全、渗透测试必备,抓包、改包、重放、自动化执行。
sqlmap:sql注入工具,配合Burp Suite使用
Httpwatch professional:网页数据分析工具
Acunetix WebVulnerability Scanne:web安全自动扫描工具。
注:自动扫描工具有个通病,误报。使用此类工具需熟悉每种安全漏洞产生的原因,且对工具的探测和确定漏洞的规则有了解。排除误报
Appscan:商用自动扫描工具,只能装在一台机器上
系统上线前,还需第三方安全公司进行渗透测试。一般在准生产环境进行。同时对系统漏洞进行回归验证。
android和ios也需要安全测试。需要对android和ios的程序有结构性的了解。相对难一些。
如:android,需要进行apk安装包二次打包检测、反编译保护检测、Activity劫持保护检测、动态注入检测、内存访问和修改检测、键盘劫持检测、webview注入检测、组件安全检测等
到此这篇安全测试方法_软件测试的测试方法的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/te-aq/8336.html