51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2679|回复: 8
打印 上一主题 下一主题

请教大家,做安全测试按关注哪些内容?

[复制链接]
  • TA的每日心情
    奋斗
    2016-7-25 14:17
  • 签到天数: 7 天

    连续签到: 1 天

    [LV.3]测试连长

    跳转到指定楼层
    1#
    发表于 2016-8-2 15:08:14 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    最近公司要对一个门户做安全测试。但是作为小白的我,只知道使用appscan按照工具给出的流程去跑,不知道这样做是否真的完整,有没有遗漏,请问大家这个有没有什么好的建议,然后学习安全测试要从哪些点去入手呢?
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    9 小时前
  • 签到天数: 2817 天

    连续签到: 5 天

    [LV.Master]测试大本营

    2#
    发表于 2016-8-2 18:10:54 | 只看该作者
    坐等大神,学习下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2018-8-27 15:56
  • 签到天数: 322 天

    连续签到: 1 天

    [LV.8]测试军长

    3#
    发表于 2016-8-3 10:52:08 | 只看该作者
    appscan扫出来的漏洞,你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫出很多问题,但是不一定都是真正需要修改优化的,你要自己分析看下。。。appscan扫出来最常见的就是Cross-site scritping跟sql  Injection了。。
    另外,业务安全也很重要,楼主可以多关注。

    懂得不多,给楼主参考下

    评分

    参与人数 1测试积点 +10 收起 理由
    lsekfe + 10 积极回复获得测试积点10

    查看全部评分

    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-9-1 08:48
  • 签到天数: 27 天

    连续签到: 2 天

    [LV.4]测试营长

    4#
    发表于 2016-8-3 13:30:36 | 只看该作者
    我用过一段时间的appscan,但是主要是对web service进行测试,让它自己跑,可能会出现部分安全警告,这些是肯定需要提交报告的,然后在弹出的报告里面会有一些针对性网页提出建议,自己根据公司需要去提取,其他的就没了,,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-3-21 11:15
  • 签到天数: 33 天

    连续签到: 1 天

    [LV.5]测试团长

    5#
    发表于 2016-8-7 08:53:43 | 只看该作者
    1.关注应用本身的安全,比如SQL注入、XSS、CSRF、上传webshell等,这些是可以用漏扫工具扫出来的,建议用最新的版本,多用几个工具对比下结果,Appscan,Awvs,netsparker,以便分析是否存在误报与漏报,结果出来了后,要手动结合工具验证是否存在以及漏洞能造成什么后果,提交给开发,最后附上修改建议和方案,因为开发很多事不懂的。
    2.关注框架、组件等安全,这个要实时关注安全动态,比如struts2、spring等框架 ,iis  nignx ,第三方引用等,了解所测是系统用了哪些框架  应用服务器  第三方引用 如果出问题  立刻自检

    3.业务安全  包括越权  低价购买商品  修改任意用户密码  撞库  恶意注册刷单  弱口令等

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-3-21 11:15
  • 签到天数: 33 天

    连续签到: 1 天

    [LV.5]测试团长

    6#
    发表于 2016-8-7 08:56:27 | 只看该作者
    什么情况 还要审核
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-7-25 14:17
  • 签到天数: 7 天

    连续签到: 1 天

    [LV.3]测试连长

    7#
     楼主| 发表于 2016-9-1 14:40:17 | 只看该作者
    seagull1985 发表于 2016-8-3 10:52
    appscan扫出来的漏洞,你要去人工确认是否是真的存在或是重不重要。。。多跟开发沟通吧。。appscan工具能扫 ...

    关键还是要了解更多这安全这方面的信息,和这个工具使用吗?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8#
    发表于 2017-1-12 15:11:50 | 只看该作者
    不懂,学习中
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2017-3-2 01:28:01 | 只看该作者
    灌,是一种美德
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 22:51 , Processed in 0.069138 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表