【你来问我来答第113期】：Web安全测试你来问我来答！(活动已结束)

enjoyhappylife

applepen 发表于 2020-7-3 17:56
安全测试领域，也是T型发展吗？需要了解广度，然后单方面深入了解这种。

对，我认为几乎所有的测试工程师，尤其在web安全测试领域是需要T型发展的，因为根据web系统的结构，测试web系统需要了解非常广泛的知识，除了了解必须的一些网络知识，比如http协议，更需要掌握一些web方面的知识，比如后端的数据库，服务器，前端的html, javascript, 另外还需要掌握一些编程语言，比如java，php，python，尤其python在日常测试中也会经常地用到，比如发送一些特殊的请求或者进行自动化测试等。  

enjoyhappylife

applepen 发表于 2020-7-3 17:53
目前主流安全测试都测哪些内容？

目前根据owap 2017 ，web 安全测试主要的测试内容有：1：在用户输入的地方进行注入测试，比如sql注入，命令注入，脚本注入 等，xss跨站攻击，csrf跨站伪造请求，如果有xml 的话，还需要进行xxe 注入测试，2：在文件上传下载的地方需要进行 文件上传测试，以防上传一些脚本文件或者病毒文件，可执行文件，下载文件的地方进行目录遍历测试，以防读取机器上的一些重要文件。3：信息泄露测试，比如利用header 中的server信息，或者系统中打印的一些数据库错误信息，攻击者可以用来进行一些攻击 。4：会话管理测试：对于cookie或者session进行安全测试，以防仿冒身份。5.权限测试，认证测试，防止越权或者暴力破解。 这些都是基本的一些测试，最后还是需要根据自己测试的系统来选择重点测试的内容，进行一些业务上的安全测试。

enjoyhappylife

applepen 发表于 2020-7-3 17:53
都说安全测试比较难，而且都不推荐走安全测试这条路。请问老师有什么看法？

安全测试难度主要在于需要比较广泛的知识，比如网络，操作系统，数据库，编程语言等等，但是我认为网络安全现在已经得到很多企业甚至是国家的重视，对于喜欢技术的测试同学我觉得还是不错的一条路。

enjoyhappylife

applepen 发表于 2020-7-3 17:51
请问老师安全测试人员可以入职的那种，需要掌握安全测试知识有多少？

web安全测试，需要掌握一些基本的网络知识比如 tcp ip协议, 数据库知识，前端的html,javascript, 了解一些编程语言比如java, php, asp, 最好熟练使用一种脚本语言比如python等。 了解web安全漏洞的基本原理以及测试方法。

enjoyhappylife

海海豚 发表于 2020-7-7 17:31
现在公司用的APPscan做安全测试，但实际只是进行扫描然后由该工具进行测试，最终只输出一个报告即可，请问 ...

用扫描工具扫描是进行安全测试的一个必须阶段，appscan能够扫描出主流的web漏洞，但是还有一些漏洞是业务逻辑方面的，这个是扫描工具不能完成的，这时候还需要进行一些手工测试。

enjoyhappylife

目标，远方 发表于 2020-7-2 08:21
专家，你好。我没有对项目进行安全测试的经历和经验，想问下专家，一个WEB的登录页面应该如果进行安全测试 ...

我认为应该从以下几个方面来进行测试：1.是否存在sql注入，如果是ldap认证的话，需要进行ldap注入测试 2. 密码暴力破解测试，是否采用锁定机制，是否采用强密码机制。3.有验证码的话，是否能够绕过验证码。4.登陆功能不能使用get请求，密码传输不能使用明文 6.密码在数据库存储需要加密 7.cookie 中保存的密码不能使用明文。8.会话管理测试：session过期之后是否需要重新登陆。

enjoyhappylife

目标，远方 发表于 2020-7-2 08:33
专家，可以就51testing现在的这个回复的帖子界面，给我们讲解下，安全测试时，我们基本要观察哪些地方，我 ...

我觉得web 安全测试主要的测试内容有：1：在用户输入输出的地方进行注入测试，比如sql注入，命令注入，脚本注入 等，xss跨站攻击，csrf跨站伪造请求，如果有xml 的话，还需要进行xxe 注入测试，2：在文件上传下载的地方需要进行 文件上传测试，以防上传一些脚本文件或者病毒文件，可执行文件，下载文件的地方进行目录遍历测试，以防读取机器上的一些重要文件。3：信息泄露测试，比如利用header 中的server信息，或者系统中打印的一些数据库错误信息，攻击者可以用来进行一些攻击 。4：会话管理测试：对于cookie或者session进行安全测试，以防仿冒身份。5.权限测试，认证测试，防止越权或者暴力破解。 这些都是基本的一些测试，最后还是需要根据自己测试的系统来选择重点测试的内容，进行一些业务上的安全测试。

enjoyhappylife

qqq911 发表于 2020-7-7 11:46
web安全检测一般用什么软件？

web漏洞扫描工具有Appscan, Burpsuit, Acunetix，Webinspect，端口扫描可以使用nmap,  抓包工具一般用wireshark或者fiddler ,如果进行单项测试比如sql 注入可以使用SQLmap

enjoyhappylife

海海豚 发表于 2020-7-7 17:31
看您在上面的回复，安全测试是需要语言编写测试脚本吗

有的时候需要发送一些特殊的包，比如二进制数据，我们可以自己编写脚本发送。

enjoyhappylife

521left 发表于 2020-7-7 11:58
老师，web安全测试在目前测试市场前景如何？？？

现在大型的公司都有自己的安全部门，所以做web安全测试可以进到甲方进行渗透测试，也可以去乙方安全厂商进行安全产品的测试。这两个可能侧重点有所不同，前者重点在于攻，后者重点在于防。

enjoyhappylife

bellas 发表于 2020-7-2 10:53
老师，我想问一下，可以科普下web安全测试入门，以及入门后的该怎么学习

web安全测试就是对于整个web系统进行的安全防护测试，web系统涉及到后端数据库，中间服务器，前端页面，脚本，底层操作系统，数据的走向也是从前端页面到中间服务器到后端存储，因此任何一个阶段如果存在安全漏洞，对于整个系统可能都是致命的，我们做web安全测试就主要是从这些层面进行测试，比如前端显示如果对于数据不进行处理，用户的输入原封不动的显示出来，那么就可能有XSS跨站攻击漏洞，而在服务器层面，用户可能输入了一些字符，这些字符被程序当做脚本来执行了，再或者用户输入了一些命令，被当做系统命令来执行.
攻击者也可能在页面加入了一个url, 当我们点击这个url之后，我们的用户名密码都被传到攻击者的网站上，等等这些都是我们要进行测试的内容， web安全测试的内容非常的广，web攻击的技术也在不断地发展，我们也要不断地学习。

enjoyhappylife

李单单 发表于 2020-7-7 11:29
想问老师一般公司的安全测试是由专职的安全测试员来做，还是普通的测试工程质兼职

如果系统功能不复杂的话可能普通的测试工程师把功能测试安全测试性能测试等全做了，但是如果在大公司，或者系统功能很复杂的话，就需要专门的安全测试来做。

enjoyhappylife

bellas 发表于 2020-7-2 10:56
老师，想问一下对于小白，不知道要学习这一方向的知识，应该要学些什么呢？又应该从什么开始学呢

建议先读一下web安全测试或者白帽子讲web安全，首先要学习web系统有哪些漏洞，了解漏洞的原理，对于每个漏洞，我建议可以围绕以下个几个问题来学习：比如学习XSS跨站攻击,那我们首先得要知道跨站攻击是什么？黑客利用跨站攻击都能干什么事情？怎么来进行跨站攻击？对于跨站攻击怎么防护？最后一个问题就是，对于一个网站，我们如何测试，是否存在跨站攻击的漏洞？

enjoyhappylife

郭小贱 发表于 2020-7-8 08:59
目前一直基于web层面做的业务测试，安全测试常用的工具有哪些？安全测试设计用例需要从哪些出发点考虑？
...

web漏洞扫描工具有Appscan, Burpsuit, Acunetix，Webinspect，端口扫描可以使用nmap,  抓包工具一般用wireshark或者fiddler ,如果进行单项测试比如sql 注入可以使用SQLmap。安全测试用例的出发点有很多，在我的课程中有详细讲到，您可以试试听一下，可能会有一些收获。