51Testing软件测试论坛

标题: 请教大家,做安全测试按关注哪些内容? [打印本页]

作者: nadl彬    时间: 2016-8-2 15:08
标题: 请教大家,做安全测试按关注哪些内容?
最近公司要对一个门户做安全测试。但是作为小白的我,只知道使用appscan按照工具给出的流程去跑,不知道这样做是否真的完整,有没有遗漏,请问大家这个有没有什么好的建议,然后学习安全测试要从哪些点去入手呢?

作者: jingzizx    时间: 2016-8-2 18:10
坐等大神,学习下
作者: seagull1985    时间: 2016-8-3 10:52
appscan扫出来的漏洞,你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫出很多问题,但是不一定都是真正需要修改优化的,你要自己分析看下。。。appscan扫出来最常见的就是Cross-site scritping跟sql  Injection了。。
另外,业务安全也很重要,楼主可以多关注。

懂得不多,给楼主参考下

作者: 18855322640    时间: 2016-8-3 13:30
我用过一段时间的appscan,但是主要是对web service进行测试,让它自己跑,可能会出现部分安全警告,这些是肯定需要提交报告的,然后在弹出的报告里面会有一些针对性网页提出建议,自己根据公司需要去提取,其他的就没了,,
作者: 旧欢似梦    时间: 2016-8-7 08:53
1.关注应用本身的安全,比如SQL注入、XSS、CSRF、上传webshell等,这些是可以用漏扫工具扫出来的,建议用最新的版本,多用几个工具对比下结果,Appscan,Awvs,netsparker,以便分析是否存在误报与漏报,结果出来了后,要手动结合工具验证是否存在以及漏洞能造成什么后果,提交给开发,最后附上修改建议和方案,因为开发很多事不懂的。
2.关注框架、组件等安全,这个要实时关注安全动态,比如struts2、spring等框架 ,iis  nignx ,第三方引用等,了解所测是系统用了哪些框架  应用服务器  第三方引用 如果出问题  立刻自检

3.业务安全  包括越权  低价购买商品  修改任意用户密码  撞库  恶意注册刷单  弱口令等


作者: 旧欢似梦    时间: 2016-8-7 08:56
什么情况 还要审核
作者: nadl彬    时间: 2016-9-1 14:40
seagull1985 发表于 2016-8-3 10:52
appscan扫出来的漏洞,你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫 ...

关键还是要了解更多这安全这方面的信息,和这个工具使用吗?
作者: 飘落的记忆    时间: 2017-1-12 15:11
不懂,学习中
作者: greeao3ve    时间: 2017-3-2 01:28
灌,是一种美德




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2