本文介绍: 安全测试是一种软件测试,可发现软件应用程序中的漏洞威胁风险并防止来自入侵者的恶意攻击安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失组织雇员或外部人员的声誉受损。安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题。对小程序h5、官网输入框的进行敏感输入搜索小程序校验:验证是否对敏感词有拦截,如有拦截则正常,如不能拦截则存在安全问题

1、 什么是安全测试

安全测试是一种软件测试,可发现软件应用程序中的漏洞威胁风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。

安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。 它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题

1.1 安全测试举措

1.2 常见的安全漏洞

1.2.1SQL 注入攻击

名词解释:SQL 注入攻击(SQL Injection),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权,是发生在应用程序数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的 SQL 指令检查,被数据库误认为是正常的 SQL 指令运行,从而使数据库受到攻击,可能导致数据被窃取、更改删除,甚至执行系统命令等,以及进一步导致网站嵌入恶意代码、被植入后门程序等危害。

1.2.2 文件上传

名词解析文件上传漏洞是指由于程序代码未对用户提交文件进行严格分析检查,导致攻击者可以上传执行代码文件,从而获取 Web 应用控制权限(Getshell)。

1.2.3 权限漏洞

名词解析访问控制是指用户对系统所有访问的权限控制,通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞,很难通过日常的安全工具扫描或防护,通常会造成大量用户数据泄露事件

现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集技术文档视频教程。
如果你不想再体验学时找不到资源,没人解答问题,坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大牛
分享他们的经验,还会分享很多直播讲座和技术沙龙
可以免费学习!划重点!开源的!!!
qq群号:110685036【暗号:csdn999】

1.2.4 暴力破解

名词解析:暴力破解是指攻击者通过遍历字典方式,向目标发起大量请求,通过判断返回数据包特征来找出正确的验证信息,从而绕过验证机制。随着互联网众多网站数据库被泄露,攻击者选择样本可以更具针对性,暴力破解的成功率也在不断上升。

1.2.5 拒绝服务攻击

名词解析:拒绝服务攻击(DoS,Denial of Service)是利用合理请求造成资源过载,从而导致服务不可用的一种攻击方式。分为针对 Web 应用层的攻击、客户端 / APP 的攻击。

1.2.6 敏感信息泄露

名词解析:敏感信息泄露是指包括用户信息企业员工信息内部资料等不应当被外部访问到的数据通过网站接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用,进行诈骗、账户窃取等,给用户和企业带来严重的不良影响。并且信息一旦信息被泄露,影响会很难消除。

1.2.7 业务逻辑漏洞

名词解析:业务逻辑漏洞是指由于业务设计时考虑不全所产生的流程逻辑上的漏洞,如用户找回密码缺陷攻击者可重置任意用户密码;如短信漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,多数需要人工根据业务场景及特点进行分析检测

1.2.8 跨站脚本攻击(XSS)

名词解析:跨站脚本攻击(XSS, Cross Site Script)通常指黑客通过 “HTML 注入” 篡改了网页插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS 漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS 是目前客户端 Web 安全中最重要的漏洞。

XSS 按效果的不同可以分为以下 3 种。

1.2.9 跨站点请求伪造(CSRF)

名词解析:跨站点请求伪造(CSRF, Cross Site Request Forgery)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品转账修改资料甚至密码等。

2 为什么要做安全测试

提到安全。我们一个产品一个网站需要加强安全防范的就是数据库。那么如果缺少了安全性测试,在高手的 sql 盲注下,你的数据库就会逐步展现在黑客的面前,无论是数据库类型、表结构字段名或是详细的用户信息,都有无数种手段可以让人 “一览无余”。

2.1 权限

网站一般都规定了什么样的用户可以做什么事。比如版主可以修改所有人的帖子,而你普通用户只能编辑自己的帖子,同样游客只能看大家的帖子。这就是简单的权限。如果少了安全性保证,那么就容易有人跳出权限做他不该做的事情。

2.2 修改提交数据信息

比如一个支付商城,如果通过抓包抓到的提交价格,经过修改再发包可以通过。简单来说就是本来 100 块钱买的东西,抓包修改为 1 块就能成功购买。这就成为了一个巨大的隐患。

2.3 类似跨站脚本安全隐患

  • HTML 注入。所有 HTML 注入范例只是注入一个 JavaScript 弹出式的警告框:alert (1)。
  • 做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了 HTML 代码页面链接时攻击者能作的各种的恶意事情。
  • 诱捕受害者,可能会 redirect 到另一个钓鱼的其他网站之类的,使其蒙受损失

2.4 敏感词的校验

比如一个政府部门的一个网站或者 app,里边可以输入一些有违目前制度以及一些领导人的词汇的问题,这样的影响是非常大的,所以我们要避免这些影响的发生。

3 如何来做安全测试

安全测试是在 IT 软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,可以说,安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命周期各个阶段的安全测试,如下图所示

上图中的风险分析静态分析渗透测试都属于安全测试的范畴,与普通测试相比,安全测试需要转换视角,改变测试中模拟对象。下面从以下维度比较常规测试与安全测试的不同。

3.1 测试目标不同

普通测试以发现 Bug 为目标;安全测试以发现安全隐患为目标。

3.2 假设条件不同

普通测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面;安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。

3.3 思考域不同

普通测试以系统所具有功能为思考域;安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境应用和数据自身安全风险与安全属性等。

3.4 问题发现模式不同

普通测试以违反功能定义为判断依据;安全测试以违反权限与能力的约束为判断依据。

4 工作中的总结

4.1 敏感词校验

步骤

程序校验:

官网校验:

  • 验证是否对敏感词有拦截,如有拦截则正常,如不能拦截则存在安全问题。

4.2 明文传输

对系统传输过程中的敏感内容是明文 & 密文进行检查设计到的模块登录、支付、注册手机号身份证、邮箱

步骤

例如接口中手机号、座机号、姓名都是明文:

4.3 越权访问

测试是否可以通过 url 直接获取管理员其他用户信息。

步骤

4.4 非法注入

测试系统是否对输入进行过滤和转移,设计到的模块:搜索框、输入框备注信息、上传文件、URL、输入框备注信息。

步骤

4.4.1 上传文件

步骤

4.4.2 文件下载

步骤

  • 点击文件下载,查看文件下载接口并进行记录
  • 修改文件下载接口,例如 xxxxx 下载接口 /../ 对路径进行跳转尝试下载其他目录下的文件,看是否可以正常下载,如可以下载则存在问题,如果不能下载则正常。

4.5 短信、邮箱验证

涉及到的模块:触发短信、邮箱验证码的相关场景

步骤

  • 操作密码找回、获取验证码获取功能,记录该获取接口。
  • 频繁调用密码找回、验证验证码接口,看是否存在拦截,以防短信被刷。
  • 查看验证码接口,看是否可以通过接口截取到验证码信息。
  • 如下京东快递 h5,短信防刷如图所示

4.6 密码健壮性

测试密码、验证码验证方式是否可靠,是否可以被暴力猜测直到命中。

步骤

4.7 数据安全

检测系统中敏感数据的存储是否安全。

步骤

4.8 支付相关

设计到的场景模块:先揽后付、达达支付、协商再投。

步骤

  • 例如在线支付、达达支付、协商再投在调取收银台、微信支付时,查看支付接口的调用
  • 查看支付页面金额是否正确,是否存在负数的情况。
  • 查看支付接口,看是否可以通过接口截取到支付密码信息。

最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走!

软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作
 

在这里插入图片描述

原文地址:https://blog.csdn.net/m0_58026506/article/details/134677113

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如若转载,请注明出处:http://www.7code.cn/show_7365.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注