51Testing软件测试论坛

标题: 安全测试 [打印本页]

作者: Alawn 时间: 2017-12-28 08:54
标题: 安全测试
关于安全测试，我知道很少，只能简单的谈谈。安全测试是主流中的非主流，“主流”指的是它是测试技术的一个主流方向，“非主流”是指在我看来，对这个技术的研究和学习没有什么固定的章法，想要有所成就需要一些天资和悟性（按照武侠里面来讲都算是九阴九阳级别的、没悟性整不好）。
曾几何时，我上份工作接触到一位安全测试工程师，他教我用AppScan工具扫描，晚上下班的时候开着扫描，第二天把扫描出的问题给开发人员分析。我以为安全测试不过如此嘛！
但是他后来跟我讲真正安全工程师并非如此草率进行安全测试的，人家基本不用工具的好么！会用到用SQL注入去拿到一个网站的后台管理员密码，然后用Python做安全手段即代码审查；你要对项目所使用的编程语言和框架里面的某些方法/函数非常熟悉，知道某些方法/函数在怎样使用时会存在安全隐患，单这一点我也觉得很难，这个方法我会用，我怎么知道在什么情况下引发漏洞？除非我遇到过。不是经验就是对你项目使用的语言已经炉火纯青了。除此之外还需要对敏感权限进行分析，代码漏洞分析，引擎漏洞分析，协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查，游戏风险分析、函数动态测试等。

作者: 就是爱测试 时间: 2018-5-4 17:42
除此之外还需要对敏感权限进行分析，代码漏洞分析，引擎漏洞分析，协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查，游戏风险分析、函数动态测试等。

作者: 就是爱测试 时间: 2018-5-4 17:42

作者: libingyu135 时间: 2018-5-10 11:48
真复杂，，

作者: 岛屿soliloquy 时间: 2018-7-9 10:10
AppScan只是扫描出问题，具体的分析没做过，不是很懂安全测试

作者: libingyu135 时间: 2018-7-31 19:45
我也只是用过工具扫描

作者: libingyu135 时间: 2018-7-31 19:45
看看工具分析出来的结果

作者: libingyu135 时间: 2018-7-31 19:45
在用工具模拟一下攻击

作者: 梦想家 时间: 2018-8-23 13:45

AppScan只是扫描出问题，具体的分析没做过，不是很懂安全测试

作者: 梦想家 时间: 2018-8-23 13:45

在用工具模拟一下攻击

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)