【你来问我来答第113期】：Web安全测试你来问我来答！(活动已结束)

lsekfe · 发表于 2020-7-1 10:14:39

论坛ID：467989
现任公司： fortinet
现任职位：高级测试工程师
工作经验：从事IT行业十余年，毕业后的前五年主要从事web软件开发工作，了解软件项目的全部流程，同时掌握了Web应用的一些基本知识。之后进入目前所在的网络安全公司，从事网络安全产品的测试，对网络安全有了一定的认识。共测试过两种安全产品：数据库安全产品和Web应用安全产品。掌握Web系统的攻防技术。
嘉宾作品：零基础web安全渗透测试入门实战

各位会员可以在7月10日前以回帖的方式向客座专家提问。
（请大家围绕本期客座专家的擅长领域进行提问、探讨）
客座专家将在7月11日—7月31日为大家集中解答。
机会难得，欢迎大家踊跃提问！

目标，远方 · 发表于 2020-7-2 08:21:24

专家，你好。我没有对项目进行安全测试的经历和经验，想问下专家，一个WEB的登录页面应该如果进行安全测试，想麻烦专家简单讲解下思路，谢谢

目标，远方 · 发表于 2020-7-2 08:33:50

专家，可以就51testing现在的这个回复的帖子界面，给我们讲解下，安全测试时，我们基本要观察哪些地方，我上网百度了一下，安全测试介绍内容太繁复了，很少有总结性的回答

bellas · 发表于 2020-7-2 10:53:37

老师，我想问一下，可以科普下web安全测试入门，以及入门后的该怎么学习

bellas · 发表于 2020-7-2 10:56:06

老师，想问一下对于小白，不知道要学习这一方向的知识，应该要学些什么呢？又应该从什么开始学呢

bellas · 发表于 2020-7-2 13:57:38

我来占个沙发

目标，远方 · 发表于 2020-7-3 10:09:11

老师，你好想问下，写安全测试用例时，需要注意些什么，一般用那些方法来为安全测试用例佐证

applepen · 发表于 2020-7-3 17:51:52

请问老师安全测试人员可以入职的那种，需要掌握安全测试知识有多少？

applepen · 发表于 2020-7-3 17:52:21

公司如果刚开始做安全测试，该从哪儿入手？

applepen · 发表于 2020-7-3 17:53:37

都说安全测试比较难，而且都不推荐走安全测试这条路。请问老师有什么看法？

applepen · 发表于 2020-7-3 17:53:54

目前主流安全测试都测哪些内容？

applepen · 发表于 2020-7-3 17:56:02

安全测试领域，也是T型发展吗？需要了解广度，然后单方面深入了解这种。

jingzizx · 发表于 2020-7-6 13:23:09

如何先入门呢

enjoyhappylife · 发表于 2020-7-6 21:06:11

applepen 发表于 2020-7-3 17:56
安全测试领域，也是T型发展吗？需要了解广度，然后单方面深入了解这种。

对，我认为几乎所有的测试工程师，尤其在web安全测试领域是需要T型发展的，因为根据web系统的结构，测试web系统需要了解非常广泛的知识，除了了解必须的一些网络知识，比如http协议，更需要掌握一些web方面的知识，比如后端的数据库，服务器，前端的html, javascript, 另外还需要掌握一些编程语言，比如java，php，python，尤其python在日常测试中也会经常地用到，比如发送一些特殊的请求或者进行自动化测试等。

enjoyhappylife · 发表于 2020-7-6 21:39:17

applepen 发表于 2020-7-3 17:53
目前主流安全测试都测哪些内容？

目前根据owap 2017 ，web 安全测试主要的测试内容有：1：在用户输入的地方进行注入测试，比如sql注入，命令注入，脚本注入等，xss跨站攻击，csrf跨站伪造请求，如果有xml 的话，还需要进行xxe 注入测试，2：在文件上传下载的地方需要进行文件上传测试，以防上传一些脚本文件或者病毒文件，可执行文件，下载文件的地方进行目录遍历测试，以防读取机器上的一些重要文件。3：信息泄露测试，比如利用header 中的server信息，或者系统中打印的一些数据库错误信息，攻击者可以用来进行一些攻击。4：会话管理测试：对于cookie或者session进行安全测试，以防仿冒身份。5.权限测试，认证测试，防止越权或者暴力破解。这些都是基本的一些测试，最后还是需要根据自己测试的系统来选择重点测试的内容，进行一些业务上的安全测试。