51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

楼主: ruanyongjie

使用APPSCAN进行安全性检测总结[转]

[复制链接]
  • TA的每日心情
    开心
    2016-4-11 11:25
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    发表于 2010-11-10 13:56:51 | 显示全部楼层
    感谢楼主精妙总结。谢谢。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2010-11-11 11:34:19 | 显示全部楼层
    我认为安全测试会成为软件测试一个新分支,新的领域。正如自动化和性能测试一样。但事实上做好安全测试并不是会用Appscan就行了,对测试人员个人水平有很大依赖。用Appscan做安全测试并不难,但要做得好,就不是那么容易了。就算全系统扫描,最后没有安全问题出现。就能保证说系统安全非常好吗?事实上
    基于Appscan安全扫描的机制,其实只能发现系统安全问题的部分问题,并非全部。当然这其中还要排除appscan误报(测试策略的筛选)。同时Appscan软件本身对大站点扫描一些crash的问题,虽说Appscan是安全测试工具中的神器,但神器有时也有不可靠的时候。太相信工具并不可取。现在应该很少项目有基于架构,代码级别的安全机制的review能力,交给安全机构去测试也是一个比较好的解决方法。

    我给保险项目做了2个月的安全测试,有10个问题CQ记录并解决(只关注high和medium的问题)
    但效果其实并不好。版本是Appscan 7.8.0.2(**版),问题只要集中在websphere本版导致问题,敏感信息泄露,SQL注入等等。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2010-11-11 11:40:34 | 显示全部楼层
    我认为安全测试会成为软件测试一个新分支,新的领域。正如自动化和性能测试一样。但事实上做好安全测试并不是会用Appscan就行了,对测试人员个人水平有很大依赖。用Appscan做安全测试并不难,但要做得好,就不是那么容易了。就算全系统扫描,最后没有安全问题出现。就能保证说系统安全非常好吗?事实上
    基于Appscan安全扫描的机制,其实只能发现系统安全问题的部分问题,并非全部。当然这其中还要排除appscan误报(测试策略的筛选)。同时Appscan软件本身对大站点扫描一些crash的问题,虽说Appscan是安全测试工具中的神器,但神器有时也有不可靠的时候。太相信工具并不可取。现在应该很少项目有基于架构,代码级别的安全机制的review能力,交给安全机构去测试也是一个比较好的解决方法。

    我给保险项目做了2个月的安全测试,有10个问题CQ记录并解决(只关注high和medium的问题)
    但效果其实并不好。版本是Appscan 7.8.0.2(**版),问题只要集中在websphere本版导致问题,敏感信息泄露,SQL注入等等。

    总结:做好安全测试工具使用并不难,但对安全测试人员个人知识体系要求非常高,否则安全测试可信度不高
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2010-11-11 19:02:50 | 显示全部楼层
    不错的总错,收下了,楼主好卖力,最近发了很多好贴,支持你
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2010-11-18 15:20:41 | 显示全部楼层
    看看,版本是那个?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-7-27 13:53:04 | 显示全部楼层
    楼主,请教几个问题啊,在此先谢谢了

    1.扫描过程中,提示不在会话环境中,请重新登录,这个问题是扫描原因?怎么解决呢
    2.在扫描时,appscan会自动关闭,这是扫描原因?(扫描的是邮件系统,有证书的,尝试策略选择的是完全)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-8-9 14:31:31 | 显示全部楼层
    测试是万能的。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-8-23 12:35:41 | 显示全部楼层
    刚刚开始学习安全性测试,谢谢楼主了。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-9-13 17:53:34 | 显示全部楼层
    好好学习哈!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-10-24 20:25:30 | 显示全部楼层
    感谢楼主辛苦发贴。吞噬星空  http://www.kanshu.la/
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-11-1 09:47:25 | 显示全部楼层
    谢谢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2011-11-9 17:22:01 | 显示全部楼层
    好资料,谢谢分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-3-30 09:02:00 | 显示全部楼层
    回复 17# ruanyongjie
    多谢楼主,有英文的资料?能否发我一份哦?lymmxz@126.com
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-4-9 12:23:39 | 显示全部楼层
    安全测试专业化我赞成,但我不赞成安全测试全部外包,对于服务运营型的大公司,测试频繁,外包代价太高,我的观点是外部辅助+内部消化,逐渐在内部形成专门的安全管理机构,全流程参与软件开发过程,从而从根本上提高软件安全质量。
    回复 6# sihanjishu
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-5-21 16:57:38 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-4-18 19:23
  • 签到天数: 189 天

    连续签到: 1 天

    [LV.7]测试师长

    发表于 2012-7-5 10:03:01 | 显示全部楼层
    安全测试 还是有点难度的!   哎    继续努力
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-27 10:45:43 | 显示全部楼层
    不错学习 学习
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-9-1 10:51:01 | 显示全部楼层
    谢谢分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-9-1 10:52:51 | 显示全部楼层
    谢谢分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-11-25 17:10
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    发表于 2012-9-28 17:43:59 | 显示全部楼层
    感谢楼主精妙总结
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-3-28 17:55 , Processed in 0.071509 second(s), 21 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表