51Testing软件测试论坛

标题: 请教大家，做安全测试按关注哪些内容？ [打印本页]

作者: nadl彬 时间: 2016-8-2 15:08
标题: 请教大家，做安全测试按关注哪些内容？
最近公司要对一个门户做安全测试。但是作为小白的我，只知道使用appscan按照工具给出的流程去跑，不知道这样做是否真的完整，有没有遗漏，请问大家这个有没有什么好的建议，然后学习安全测试要从哪些点去入手呢？

作者: jingzizx 时间: 2016-8-2 18:10
坐等大神，学习下

作者: seagull1985 时间: 2016-8-3 10:52
appscan扫出来的漏洞，你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫出很多问题，但是不一定都是真正需要修改优化的，你要自己分析看下。。。appscan扫出来最常见的就是Cross-site scritping跟sql Injection了。。
另外，业务安全也很重要，楼主可以多关注。

懂得不多，给楼主参考下

作者: 18855322640 时间: 2016-8-3 13:30
我用过一段时间的appscan，但是主要是对web service进行测试，让它自己跑，可能会出现部分安全警告，这些是肯定需要提交报告的，然后在弹出的报告里面会有一些针对性网页提出建议，自己根据公司需要去提取，其他的就没了，，

作者: 旧欢似梦 时间: 2016-8-7 08:53
1.关注应用本身的安全，比如SQL注入、XSS、CSRF、上传webshell等，这些是可以用漏扫工具扫出来的，建议用最新的版本，多用几个工具对比下结果，Appscan,Awvs,netsparker，以便分析是否存在误报与漏报，结果出来了后，要手动结合工具验证是否存在以及漏洞能造成什么后果，提交给开发，最后附上修改建议和方案，因为开发很多事不懂的。
2.关注框架、组件等安全，这个要实时关注安全动态，比如struts2、spring等框架，iis nignx ，第三方引用等，了解所测是系统用了哪些框架应用服务器第三方引用如果出问题立刻自检

3.业务安全包括越权低价购买商品修改任意用户密码撞库恶意注册刷单弱口令等

作者: 旧欢似梦 时间: 2016-8-7 08:56
什么情况还要审核

作者: nadl彬 时间: 2016-9-1 14:40

seagull1985 发表于 2016-8-3 10:52
appscan扫出来的漏洞，你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫 ...

关键还是要了解更多这安全这方面的信息，和这个工具使用吗？

作者: 飘落的记忆 时间: 2017-1-12 15:11
不懂，学习中

作者: greeao3ve 时间: 2017-3-2 01:28
灌，是一种美德

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)