51Testing软件测试论坛

标题: 安全测试 [打印本页]

作者: Alawn    时间: 2017-12-28 08:54
标题: 安全测试
关于安全测试,我知道很少,只能简单的谈谈。安全测试是主流中的非主流,“主流”指的是它是测试技术的一个主流方向,“非主流”是指在我看来,对这个技术的研究和学习没有什么固定的章法,想要有所成就需要一些天资和悟性(按照武侠里面来讲都算是九阴九阳级别的、没悟性整不好)。
曾几何时,我上份工作接触到一位安全测试工程师,他教我用AppScan工具扫描,晚上下班的时候开着扫描,第二天把扫描出的问题给开发人员分析。我以为安全测试不过如此嘛!
但是他后来跟我讲真正安全工程师并非如此草率进行安全测试的,人家基本不用工具的好么!会用到用SQL注入去拿到一个网站的后台管理员密码,然后用Python做安全手段即代码审查;你要对项目所使用的编程语言和框架里面的某些方法/函数非常熟悉,知道某些方法/函数在怎样使用时会存在安全隐患,单这一点我也觉得很难,这个方法我会用,我怎么知道在什么情况下引发漏洞?除非我遇到过。不是经验就是对你项目使用的语言已经炉火纯青了。除此之外还需要对敏感权限进行分析,代码漏洞分析,引擎漏洞分析,协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查,游戏风险分析、函数动态测试等。
作者: 就是爱测试    时间: 2018-5-4 17:42
除此之外还需要对敏感权限进行分析,代码漏洞分析,引擎漏洞分析,协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查,游戏风险分析、函数动态测试等。
作者: 就是爱测试    时间: 2018-5-4 17:42

作者: libingyu135    时间: 2018-5-10 11:48
真复杂,,
作者: 岛屿soliloquy    时间: 2018-7-9 10:10
AppScan只是扫描出问题,具体的分析没做过,不是很懂安全测试
作者: libingyu135    时间: 2018-7-31 19:45
我也只是用过工具扫描
作者: libingyu135    时间: 2018-7-31 19:45
看看工具分析出来的结果
作者: libingyu135    时间: 2018-7-31 19:45
在用工具模拟一下攻击
作者: 梦想家    时间: 2018-8-23 13:45

AppScan只是扫描出问题,具体的分析没做过,不是很懂安全测试
作者: 梦想家    时间: 2018-8-23 13:45

在用工具模拟一下攻击




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2