51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 22314|回复: 47
打印 上一主题 下一主题

【你来问我来答第113期】:Web安全测试你来问我来答!(活动已结束)

[复制链接]
  • TA的每日心情
    无聊
    13 小时前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2020-7-1 10:14:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    论坛ID:467989
    现任公司: fortinet
    现任职位:高级测试工程师
    工作经验:从事IT行业十余年,毕业后的前五年主要从事web软件开发工作,了解软件项目的全部流程,同时掌握了Web应用的一些基本知识。之后进入目前所在的网络安全公司,从事网络安全产品的测试,对网络安全有了一定的认识。共测试过两种安全产品:数据库安全产品和Web应用安全产品。掌握Web系统的攻防技术。
    嘉宾作品零基础web安全渗透测试入门实战

    各位会员可以在7月10日前以回帖的方式向客座专家提问。
    (请大家围绕本期客座专家的擅长领域进行提问、探讨)
    客座专家将在7月11日—7月31日为大家集中解答。

    机会难得,欢迎大家踊跃提问!


    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-27 09:21
  • 签到天数: 347 天

    连续签到: 1 天

    [LV.8]测试军长

    2#
    发表于 2020-7-2 08:21:24 | 只看该作者
    专家,你好。我没有对项目进行安全测试的经历和经验,想问下专家,一个WEB的登录页面应该如果进行安全测试,想麻烦专家简单讲解下思路,谢谢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-27 09:21
  • 签到天数: 347 天

    连续签到: 1 天

    [LV.8]测试军长

    3#
    发表于 2020-7-2 08:33:50 | 只看该作者
    专家,可以就51testing现在的这个回复的帖子界面,给我们讲解下,安全测试时,我们基本要观察哪些地方,我上网百度了一下,安全测试介绍内容太繁复了,很少有总结性的回答
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    4 小时前
  • 签到天数: 754 天

    连续签到: 1 天

    [LV.10]测试总司令

    4#
    发表于 2020-7-2 10:53:37 | 只看该作者
    老师,我想问一下,可以科普下web安全测试入门,以及入门后的该怎么学习
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    4 小时前
  • 签到天数: 754 天

    连续签到: 1 天

    [LV.10]测试总司令

    5#
    发表于 2020-7-2 10:56:06 | 只看该作者
    老师,想问一下对于小白,不知道要学习这一方向的知识,应该要学些什么呢?又应该从什么开始学呢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    4 小时前
  • 签到天数: 754 天

    连续签到: 1 天

    [LV.10]测试总司令

    6#
    发表于 2020-7-2 13:57:38 | 只看该作者
    我来占个沙发
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-27 09:21
  • 签到天数: 347 天

    连续签到: 1 天

    [LV.8]测试军长

    7#
    发表于 2020-7-3 10:09:11 | 只看该作者
    老师,你好想问下,写安全测试用例时,需要注意些什么,一般用那些方法来为安全测试用例佐证
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-5-20 21:29
  • 签到天数: 996 天

    连续签到: 1 天

    [LV.10]测试总司令

    8#
    发表于 2020-7-3 17:51:52 | 只看该作者
    请问老师安全测试人员可以入职的那种,需要掌握安全测试知识有多少?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-5-20 21:29
  • 签到天数: 996 天

    连续签到: 1 天

    [LV.10]测试总司令

    9#
    发表于 2020-7-3 17:52:21 | 只看该作者
    公司如果刚开始做安全测试,该从哪儿入手?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-5-20 21:29
  • 签到天数: 996 天

    连续签到: 1 天

    [LV.10]测试总司令

    10#
    发表于 2020-7-3 17:53:37 | 只看该作者
    都说安全测试比较难,而且都不推荐走安全测试这条路。请问老师有什么看法?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-5-20 21:29
  • 签到天数: 996 天

    连续签到: 1 天

    [LV.10]测试总司令

    11#
    发表于 2020-7-3 17:53:54 | 只看该作者
    目前主流安全测试都测哪些内容?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-5-20 21:29
  • 签到天数: 996 天

    连续签到: 1 天

    [LV.10]测试总司令

    12#
    发表于 2020-7-3 17:56:02 | 只看该作者
    安全测试领域,也是T型发展吗?需要了解广度,然后单方面深入了解这种。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    14 小时前
  • 签到天数: 2816 天

    连续签到: 4 天

    [LV.Master]测试大本营

    13#
    发表于 2020-7-6 13:23:09 | 只看该作者
    如何先入门呢
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    14#
    发表于 2020-7-6 21:06:11 | 只看该作者
    applepen 发表于 2020-7-3 17:56
    安全测试领域,也是T型发展吗?需要了解广度,然后单方面深入了解这种。

    对,我认为几乎所有的测试工程师,尤其在web安全测试领域是需要T型发展的,因为根据web系统的结构,测试web系统需要了解非常广泛的知识,除了了解必须的一些网络知识,比如http协议,更需要掌握一些web方面的知识,比如后端的数据库,服务器,前端的html, javascript, 另外还需要掌握一些编程语言,比如java,php,python,尤其python在日常测试中也会经常地用到,比如发送一些特殊的请求或者进行自动化测试等。  
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15#
    发表于 2020-7-6 21:39:17 | 只看该作者
    applepen 发表于 2020-7-3 17:53
    目前主流安全测试都测哪些内容?

    目前根据owap 2017 ,web 安全测试主要的测试内容有:1:在用户输入的地方进行注入测试,比如sql注入,命令注入,脚本注入 等,xss跨站攻击,csrf跨站伪造请求,如果有xml 的话,还需要进行xxe 注入测试,2:在文件上传下载的地方需要进行 文件上传测试,以防上传一些脚本文件或者病毒文件,可执行文件,下载文件的地方进行目录遍历测试,以防读取机器上的一些重要文件。3:信息泄露测试,比如利用header 中的server信息,或者系统中打印的一些数据库错误信息,攻击者可以用来进行一些攻击 。4:会话管理测试:对于cookie或者session进行安全测试,以防仿冒身份。5.权限测试,认证测试,防止越权或者暴力破解。 这些都是基本的一些测试,最后还是需要根据自己测试的系统来选择重点测试的内容,进行一些业务上的安全测试。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    16#
    发表于 2020-7-6 21:45:27 | 只看该作者
    applepen 发表于 2020-7-3 17:53
    都说安全测试比较难,而且都不推荐走安全测试这条路。请问老师有什么看法?

    安全测试难度主要在于需要比较广泛的知识,比如网络,操作系统,数据库,编程语言等等,但是我认为网络安全现在已经得到很多企业甚至是国家的重视,对于喜欢技术的测试同学我觉得还是不错的一条路。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2020-7-6 22:22:32 | 只看该作者
    applepen 发表于 2020-7-3 17:51
    请问老师安全测试人员可以入职的那种,需要掌握安全测试知识有多少?

    web安全测试,需要掌握一些基本的网络知识比如 tcp ip协议, 数据库知识,前端的html,javascript, 了解一些编程语言比如java, php, asp, 最好熟练使用一种脚本语言比如python等。 了解web安全漏洞的基本原理以及测试方法。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    18#
    发表于 2020-7-7 11:29:58 | 只看该作者
    想问老师一般公司的安全测试是由专职的安全测试员来做,还是普通的测试工程质兼职
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    19#
    发表于 2020-7-7 11:30:56 | 只看该作者
    初次学习安全测试,有哪些基础知识需要学习呢,咱们在项目中可以简单的应用啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    20#
    发表于 2020-7-7 11:33:10 | 只看该作者
    目前有很多安全工具,这类工具是不是也和自动化工具一样只是辅助,想要做好安全测试还是得靠自身对数据库、网络架构等统筹分析
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-21 22:16 , Processed in 0.079717 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表