51Testing软件测试论坛

标题: 【你来问我来答第113期】：Web安全测试你来问我来答！(活动已结束) [打印本页]

作者: lsekfe 时间: 2020-7-1 10:14
标题: 【你来问我来答第113期】：Web安全测试你来问我来答！(活动已结束)
[attach]128956[/attach]
论坛ID：467989
现任公司： fortinet
现任职位：高级测试工程师
工作经验：从事IT行业十余年，毕业后的前五年主要从事web软件开发工作，了解软件项目的全部流程，同时掌握了Web应用的一些基本知识。之后进入目前所在的网络安全公司，从事网络安全产品的测试，对网络安全有了一定的认识。共测试过两种安全产品：数据库安全产品和Web应用安全产品。掌握Web系统的攻防技术。
嘉宾作品：零基础web安全渗透测试入门实战

各位会员可以在7月10日前以回帖的方式向客座专家提问。
（请大家围绕本期客座专家的擅长领域进行提问、探讨）
客座专家将在7月11日—7月31日为大家集中解答。
机会难得，欢迎大家踊跃提问！

作者: 目标，远方 时间: 2020-7-2 08:21
专家，你好。我没有对项目进行安全测试的经历和经验，想问下专家，一个WEB的登录页面应该如果进行安全测试，想麻烦专家简单讲解下思路，谢谢

作者: 目标，远方 时间: 2020-7-2 08:33
专家，可以就51testing现在的这个回复的帖子界面，给我们讲解下，安全测试时，我们基本要观察哪些地方，我上网百度了一下，安全测试介绍内容太繁复了，很少有总结性的回答

作者: bellas 时间: 2020-7-2 10:53
老师，我想问一下，可以科普下web安全测试入门，以及入门后的该怎么学习

作者: bellas 时间: 2020-7-2 10:56
老师，想问一下对于小白，不知道要学习这一方向的知识，应该要学些什么呢？又应该从什么开始学呢

作者: bellas 时间: 2020-7-2 13:57
我来占个沙发

作者: 目标，远方 时间: 2020-7-3 10:09
老师，你好想问下，写安全测试用例时，需要注意些什么，一般用那些方法来为安全测试用例佐证

作者: applepen 时间: 2020-7-3 17:51
请问老师安全测试人员可以入职的那种，需要掌握安全测试知识有多少？

作者: applepen 时间: 2020-7-3 17:52
公司如果刚开始做安全测试，该从哪儿入手？

作者: applepen 时间: 2020-7-3 17:53
都说安全测试比较难，而且都不推荐走安全测试这条路。请问老师有什么看法？

作者: applepen 时间: 2020-7-3 17:53
目前主流安全测试都测哪些内容？

作者: applepen 时间: 2020-7-3 17:56
安全测试领域，也是T型发展吗？需要了解广度，然后单方面深入了解这种。

作者: jingzizx 时间: 2020-7-6 13:23
如何先入门呢

作者: enjoyhappylife 时间: 2020-7-6 21:06

applepen 发表于 2020-7-3 17:56
安全测试领域，也是T型发展吗？需要了解广度，然后单方面深入了解这种。

对，我认为几乎所有的测试工程师，尤其在web安全测试领域是需要T型发展的，因为根据web系统的结构，测试web系统需要了解非常广泛的知识，除了了解必须的一些网络知识，比如http协议，更需要掌握一些web方面的知识，比如后端的数据库，服务器，前端的html, javascript, 另外还需要掌握一些编程语言，比如java，php，python，尤其python在日常测试中也会经常地用到，比如发送一些特殊的请求或者进行自动化测试等。

作者: enjoyhappylife 时间: 2020-7-6 21:39

applepen 发表于 2020-7-3 17:53
目前主流安全测试都测哪些内容？

目前根据owap 2017 ，web 安全测试主要的测试内容有：1：在用户输入的地方进行注入测试，比如sql注入，命令注入，脚本注入等，xss跨站攻击，csrf跨站伪造请求，如果有xml 的话，还需要进行xxe 注入测试，2：在文件上传下载的地方需要进行文件上传测试，以防上传一些脚本文件或者病毒文件，可执行文件，下载文件的地方进行目录遍历测试，以防读取机器上的一些重要文件。3：信息泄露测试，比如利用header 中的server信息，或者系统中打印的一些数据库错误信息，攻击者可以用来进行一些攻击。4：会话管理测试：对于cookie或者session进行安全测试，以防仿冒身份。5.权限测试，认证测试，防止越权或者暴力破解。这些都是基本的一些测试，最后还是需要根据自己测试的系统来选择重点测试的内容，进行一些业务上的安全测试。

作者: enjoyhappylife 时间: 2020-7-6 21:45

applepen 发表于 2020-7-3 17:53
都说安全测试比较难，而且都不推荐走安全测试这条路。请问老师有什么看法？

安全测试难度主要在于需要比较广泛的知识，比如网络，操作系统，数据库，编程语言等等，但是我认为网络安全现在已经得到很多企业甚至是国家的重视，对于喜欢技术的测试同学我觉得还是不错的一条路。

作者: enjoyhappylife 时间: 2020-7-6 22:22

applepen 发表于 2020-7-3 17:51
请问老师安全测试人员可以入职的那种，需要掌握安全测试知识有多少？

web安全测试，需要掌握一些基本的网络知识比如 tcp ip协议, 数据库知识，前端的html,javascript, 了解一些编程语言比如java, php, asp, 最好熟练使用一种脚本语言比如python等。了解web安全漏洞的基本原理以及测试方法。

作者: 李单单 时间: 2020-7-7 11:29
想问老师一般公司的安全测试是由专职的安全测试员来做，还是普通的测试工程质兼职

作者: 李单单 时间: 2020-7-7 11:30
初次学习安全测试，有哪些基础知识需要学习呢，咱们在项目中可以简单的应用啊

作者: 李单单 时间: 2020-7-7 11:33
目前有很多安全工具，这类工具是不是也和自动化工具一样只是辅助，想要做好安全测试还是得靠自身对数据库、网络架构等统筹分析

作者: qqq911 时间: 2020-7-7 11:46
web安全检测一般用什么软件？

作者: qqq911 时间: 2020-7-7 11:47
接口安全和web安全有什么区别

作者: qqq911 时间: 2020-7-7 11:47
安全类测试，从哪里入门？

作者: 521left 时间: 2020-7-7 11:52
老师好，求科普安全测试的基本常识

作者: 521left 时间: 2020-7-7 11:58
老师，可以讲下web安全测试的定义吗？

作者: 521left 时间: 2020-7-7 11:58
老师，web安全测试在目前测试市场前景如何？？？

作者: 海海豚 时间: 2020-7-7 17:31
现在公司用的APPscan做安全测试，但实际只是进行扫描然后由该工具进行测试，最终只输出一个报告即可，请问这种工具的使用，在整个安全测试内占比是多少？

作者: 海海豚 时间: 2020-7-7 17:31
看您在上面的回复，安全测试是需要语言编写测试脚本吗

作者: 海海豚 时间: 2020-7-7 17:40
请问老师，从小白起步，如何找一个学习的方向呢？

作者: enjoyhappylife 时间: 2020-7-7 20:35

海海豚发表于 2020-7-7 17:31
现在公司用的APPscan做安全测试，但实际只是进行扫描然后由该工具进行测试，最终只输出一个报告即可，请问 ...

用扫描工具扫描是进行安全测试的一个必须阶段，appscan能够扫描出主流的web漏洞，但是还有一些漏洞是业务逻辑方面的，这个是扫描工具不能完成的，这时候还需要进行一些手工测试。

作者: enjoyhappylife 时间: 2020-7-7 21:00

目标，远方发表于 2020-7-2 08:21
专家，你好。我没有对项目进行安全测试的经历和经验，想问下专家，一个WEB的登录页面应该如果进行安全测试 ...

我认为应该从以下几个方面来进行测试：1.是否存在sql注入，如果是ldap认证的话，需要进行ldap注入测试 2. 密码暴力破解测试，是否采用锁定机制，是否采用强密码机制。3.有验证码的话，是否能够绕过验证码。4.登陆功能不能使用get请求，密码传输不能使用明文 6.密码在数据库存储需要加密 7.cookie 中保存的密码不能使用明文。8.会话管理测试：session过期之后是否需要重新登陆。

作者: enjoyhappylife 时间: 2020-7-7 21:04

目标，远方发表于 2020-7-2 08:33
专家，可以就51testing现在的这个回复的帖子界面，给我们讲解下，安全测试时，我们基本要观察哪些地方，我 ...

我觉得web 安全测试主要的测试内容有：1：在用户输入输出的地方进行注入测试，比如sql注入，命令注入，脚本注入等，xss跨站攻击，csrf跨站伪造请求，如果有xml 的话，还需要进行xxe 注入测试，2：在文件上传下载的地方需要进行文件上传测试，以防上传一些脚本文件或者病毒文件，可执行文件，下载文件的地方进行目录遍历测试，以防读取机器上的一些重要文件。3：信息泄露测试，比如利用header 中的server信息，或者系统中打印的一些数据库错误信息，攻击者可以用来进行一些攻击。4：会话管理测试：对于cookie或者session进行安全测试，以防仿冒身份。5.权限测试，认证测试，防止越权或者暴力破解。这些都是基本的一些测试，最后还是需要根据自己测试的系统来选择重点测试的内容，进行一些业务上的安全测试。

作者: enjoyhappylife 时间: 2020-7-7 21:10

qqq911 发表于 2020-7-7 11:46
web安全检测一般用什么软件？

web漏洞扫描工具有Appscan, Burpsuit, Acunetix，Webinspect，端口扫描可以使用nmap, 抓包工具一般用wireshark或者fiddler ,如果进行单项测试比如sql 注入可以使用SQLmap

作者: enjoyhappylife 时间: 2020-7-7 21:13

海海豚发表于 2020-7-7 17:31
看您在上面的回复，安全测试是需要语言编写测试脚本吗

有的时候需要发送一些特殊的包，比如二进制数据，我们可以自己编写脚本发送。

作者: enjoyhappylife 时间: 2020-7-7 21:20

521left 发表于 2020-7-7 11:58
老师，web安全测试在目前测试市场前景如何？？？

现在大型的公司都有自己的安全部门，所以做web安全测试可以进到甲方进行渗透测试，也可以去乙方安全厂商进行安全产品的测试。这两个可能侧重点有所不同，前者重点在于攻，后者重点在于防。

作者: enjoyhappylife 时间: 2020-7-7 21:46

bellas 发表于 2020-7-2 10:53
老师，我想问一下，可以科普下web安全测试入门，以及入门后的该怎么学习

web安全测试就是对于整个web系统进行的安全防护测试，web系统涉及到后端数据库，中间服务器，前端页面，脚本，底层操作系统，数据的走向也是从前端页面到中间服务器到后端存储，因此任何一个阶段如果存在安全漏洞，对于整个系统可能都是致命的，我们做web安全测试就主要是从这些层面进行测试，比如前端显示如果对于数据不进行处理，用户的输入原封不动的显示出来，那么就可能有XSS跨站攻击漏洞，而在服务器层面，用户可能输入了一些字符，这些字符被程序当做脚本来执行了，再或者用户输入了一些命令，被当做系统命令来执行.
攻击者也可能在页面加入了一个url, 当我们点击这个url之后，我们的用户名密码都被传到攻击者的网站上，等等这些都是我们要进行测试的内容， web安全测试的内容非常的广，web攻击的技术也在不断地发展，我们也要不断地学习。

作者: enjoyhappylife 时间: 2020-7-7 21:52

李单单发表于 2020-7-7 11:29
想问老师一般公司的安全测试是由专职的安全测试员来做，还是普通的测试工程质兼职

如果系统功能不复杂的话可能普通的测试工程师把功能测试安全测试性能测试等全做了，但是如果在大公司，或者系统功能很复杂的话，就需要专门的安全测试来做。

作者: enjoyhappylife 时间: 2020-7-7 22:05

bellas 发表于 2020-7-2 10:56
老师，想问一下对于小白，不知道要学习这一方向的知识，应该要学些什么呢？又应该从什么开始学呢

建议先读一下web安全测试或者白帽子讲web安全，首先要学习web系统有哪些漏洞，了解漏洞的原理，对于每个漏洞，我建议可以围绕以下个几个问题来学习：比如学习XSS跨站攻击,那我们首先得要知道跨站攻击是什么？黑客利用跨站攻击都能干什么事情？怎么来进行跨站攻击？对于跨站攻击怎么防护？最后一个问题就是，对于一个网站，我们如何测试，是否存在跨站攻击的漏洞？

作者: 郭小贱 时间: 2020-7-8 08:55
老师，渗透测试是不是属于安全测试的一种？如果是，那该如何入门渗透测试呢？

作者: 郭小贱 时间: 2020-7-8 08:57
目前没做过安全测试相关，对此也只是了解个概念。对于想从事专职安全测试的人员来讲，需要具备哪些必要的技能呢？

作者: 郭小贱 时间: 2020-7-8 08:59
目前一直基于web层面做的业务测试，安全测试常用的工具有哪些？安全测试设计用例需要从哪些出发点考虑？
虽然有一些想法，感觉不成熟，如果想系统的学习安全测试，有哪些书籍可以推荐了解下呢？

作者: jingzizx 时间: 2020-7-10 15:52
支持

作者: jingzizx 时间: 2020-7-24 14:05

作者: enjoyhappylife 时间: 2020-7-26 21:36

郭小贱发表于 2020-7-8 08:59
目前一直基于web层面做的业务测试，安全测试常用的工具有哪些？安全测试设计用例需要从哪些出发点考虑？
...

web漏洞扫描工具有Appscan, Burpsuit, Acunetix，Webinspect，端口扫描可以使用nmap, 抓包工具一般用wireshark或者fiddler ,如果进行单项测试比如sql 注入可以使用SQLmap。安全测试用例的出发点有很多，在我的课程中有详细讲到，您可以试试听一下，可能会有一些收获。

作者: Miss_love 时间: 2020-7-29 15:18
来支持下。。

作者: 赵佳乐SMILE 时间: 2021-12-20 12:45
学习一下

作者: 赵佳乐SMILE 时间: 2021-12-20 12:46

enjoyhappylife 发表于 2020-7-6 21:39
目前根据owap 2017 ，web 安全测试主要的测试内容有：1：在用户输入的地方进行注入测试，比如sql注入，命 ...

太厉害了

作者: 赵佳乐SMILE 时间: 2021-12-20 12:47

enjoyhappylife 发表于 2020-7-7 21:00
我认为应该从以下几个方面来进行测试：1.是否存在sql注入，如果是ldap认证的话，需要进行ldap注入测试 2. ...

学习了

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)