51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

楼主: lsekfe

【你来问我来答第42期】:揭开web安全测试的神秘面纱(已结束)

[复制链接]
  • TA的每日心情
    擦汗
    2019-2-21 08:41
  • 签到天数: 289 天

    连续签到: 4 天

    [LV.8]测试军长

    发表于 2014-1-7 09:19:49 | 显示全部楼层
    回复 21# maliya1314


    这个问题详见下33楼。我强调下,安全测试架构不是指一个自动化测试框架,测试架构的范围会更广,而测试架构师要做的也不仅仅是搭建测试框架。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-2-21 08:41
  • 签到天数: 289 天

    连续签到: 4 天

    [LV.8]测试军长

    发表于 2014-1-7 09:23:32 | 显示全部楼层
    回复 22# 测试缘


    1. 安全测试核心其实在解析分析和策略建立上,针对于不同的被测项目,需要建立不同的安全策略;即便是同一个项目中不同模块,也要进行不同的策略。这算是安全测试最需要考虑的地方
    2. 安全测试,咱们刚才提到的都算是先验测试,在测试工作中,先验测试固然很重要,但是另一方面来说,对服务器的监控,日志的阅读,甚至是蜜罐的使用,才是保证一个项目一个系统尽可能少的受到攻击的关键。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-2-21 08:41
  • 签到天数: 289 天

    连续签到: 4 天

    [LV.8]测试军长

    发表于 2014-1-7 09:27:31 | 显示全部楼层
    回复 23# dennyqiang


    首先来说 服务器和防火墙,哪怕是web安全防火墙一类的安全附加工具,从实质上来说都是基于恶意攻击的屏蔽措施,也就是拒绝接受某些恶意攻击。实际上来讲,对于代码安全是没有任何作用的。所谓魔高一尺,道高一丈吧,在安全测试领域,追求的是高质量的代码+高效的安全附加措施,这恐怕才是未来安全的发展方向。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-2-21 08:41
  • 签到天数: 289 天

    连续签到: 4 天

    [LV.8]测试军长

    发表于 2014-1-7 09:28:19 | 显示全部楼层
    回复 24# 测试你


    请参考一下26楼关于类似问题的回复~~谢谢~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-7 09:35:57 | 显示全部楼层
    落哥,顶起来,哇哈哈,大家有问题就赶紧提,不要错过哦

    这里还有安全测试自学手册哦
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-2-21 08:41
  • 签到天数: 289 天

    连续签到: 4 天

    [LV.8]测试军长

    发表于 2014-1-7 09:58:27 | 显示全部楼层
    回复 45# xqtesting


    哈哈,谢谢小强老师~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-7 10:26:27 | 显示全部楼层
    怎么去手工测试!举个例子
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-8 11:14:14 | 显示全部楼层
    安全测试怎么进行手工测试!举个例子
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2015-3-30 15:24
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]测试排长

    发表于 2014-1-10 14:45:19 | 显示全部楼层
    你这问题问的  那就问上级领导呗
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-10 16:31:59 | 显示全部楼层
    你好,我是刚入门的小测试员,很想知道安全测试的一些知道。我们公司主要做app和web的测试,这两个方面的安全测试要注意哪些点,有什么不同。能否具体讲一下你平时是怎么进行安全测试的,用的是什么工具。谢谢。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-9-14 16:53
  • 签到天数: 27 天

    连续签到: 1 天

    [LV.4]测试营长

    发表于 2014-1-13 11:46:36 | 显示全部楼层
    MTM 为什么的邮箱设置Accounting  Setting不能点击呢?邮箱不能发送呢,需要配置什么吗?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-13 15:25:18 | 显示全部楼层
    围观
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-14 12:13:35 | 显示全部楼层
    作为测试人员,在工作中应该保持怎样的心态?谢谢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2015-9-6 21:21
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    发表于 2014-1-14 15:54:27 | 显示全部楼层
    安全测试该如何入门
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-14 17:26:27 | 显示全部楼层
    selenium工具从哪里开始学起?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-15 11:31:22 | 显示全部楼层
    安全意识如何培养
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-17 14:58:49 | 显示全部楼层
    sql注入 有什么工具可以推荐吗?谢谢
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-17 16:47:43 | 显示全部楼层
    回复 1# lsekfe


        榜样啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-21 09:22:14 | 显示全部楼层
    应届毕业生如何开展并走好软件测试之路?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-2-21 08:41
  • 签到天数: 289 天

    连续签到: 4 天

    [LV.8]测试军长

    发表于 2014-1-26 13:33:53 | 显示全部楼层
    回复 48# shujin6040


    在我的理解里,安全测试可能更多反而需要的是用手工去进行一些验证,大多数时候这些工作往往是自动化所不能解决的。
    怎么进行呢?首先是你需要对安全漏洞的原理有一定的了解,在了解的基础上根据其漏洞产生原因和现象做有根据性的手工测试。
    我举个简单的例子吧,例如我们要测试一个购物车是否有绕过客户端的漏洞,那么我们首先要抓取关键请求,一般是“下一步”或者“支付”。接下来手动拦截到这个请求后,查看是否具有关键信息或隐私信息,如果有,进行修改,查看该请求是否能被服务器所接收;如果没有,则进行简单的解码工作;如果仍未发现隐私信息,则抓取其他购物车同类请求比较,查看变化规律,做出预测请求判断或替换请求参数等操作。
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-3-29 06:55 , Processed in 0.075581 second(s), 20 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表