【你来问我来答第113期】：Web安全测试你来问我来答！(活动已结束)

李单单

目前有很多安全工具，这类工具是不是也和自动化工具一样只是辅助，想要做好安全测试还是得靠自身对数据库、网络架构等统筹分析

qqq911

web安全检测一般用什么软件？

qqq911

接口安全和web安全有什么区别

qqq911

安全类测试，从哪里入门？

521left

老师好，求科普安全测试的基本常识

521left

老师，可以讲下web安全测试的定义吗？

521left

老师，web安全测试在目前测试市场前景如何？？？

海海豚

现在公司用的APPscan做安全测试，但实际只是进行扫描然后由该工具进行测试，最终只输出一个报告即可，请问这种工具的使用，在整个安全测试内占比是多少？

海海豚

看您在上面的回复，安全测试是需要语言编写测试脚本吗

海海豚

请问老师，从小白起步，如何找一个学习的方向呢？

enjoyhappylife

海海豚 发表于 2020-7-7 17:31
现在公司用的APPscan做安全测试，但实际只是进行扫描然后由该工具进行测试，最终只输出一个报告即可，请问 ...

用扫描工具扫描是进行安全测试的一个必须阶段，appscan能够扫描出主流的web漏洞，但是还有一些漏洞是业务逻辑方面的，这个是扫描工具不能完成的，这时候还需要进行一些手工测试。

enjoyhappylife

目标，远方 发表于 2020-7-2 08:21
专家，你好。我没有对项目进行安全测试的经历和经验，想问下专家，一个WEB的登录页面应该如果进行安全测试 ...

我认为应该从以下几个方面来进行测试：1.是否存在sql注入，如果是ldap认证的话，需要进行ldap注入测试 2. 密码暴力破解测试，是否采用锁定机制，是否采用强密码机制。3.有验证码的话，是否能够绕过验证码。4.登陆功能不能使用get请求，密码传输不能使用明文 6.密码在数据库存储需要加密 7.cookie 中保存的密码不能使用明文。8.会话管理测试：session过期之后是否需要重新登陆。

enjoyhappylife

目标，远方 发表于 2020-7-2 08:33
专家，可以就51testing现在的这个回复的帖子界面，给我们讲解下，安全测试时，我们基本要观察哪些地方，我 ...

我觉得web 安全测试主要的测试内容有：1：在用户输入输出的地方进行注入测试，比如sql注入，命令注入，脚本注入 等，xss跨站攻击，csrf跨站伪造请求，如果有xml 的话，还需要进行xxe 注入测试，2：在文件上传下载的地方需要进行 文件上传测试，以防上传一些脚本文件或者病毒文件，可执行文件，下载文件的地方进行目录遍历测试，以防读取机器上的一些重要文件。3：信息泄露测试，比如利用header 中的server信息，或者系统中打印的一些数据库错误信息，攻击者可以用来进行一些攻击 。4：会话管理测试：对于cookie或者session进行安全测试，以防仿冒身份。5.权限测试，认证测试，防止越权或者暴力破解。 这些都是基本的一些测试，最后还是需要根据自己测试的系统来选择重点测试的内容，进行一些业务上的安全测试。

enjoyhappylife

qqq911 发表于 2020-7-7 11:46
web安全检测一般用什么软件？

web漏洞扫描工具有Appscan, Burpsuit, Acunetix，Webinspect，端口扫描可以使用nmap,  抓包工具一般用wireshark或者fiddler ,如果进行单项测试比如sql 注入可以使用SQLmap

enjoyhappylife

海海豚 发表于 2020-7-7 17:31
看您在上面的回复，安全测试是需要语言编写测试脚本吗

有的时候需要发送一些特殊的包，比如二进制数据，我们可以自己编写脚本发送。

enjoyhappylife

521left 发表于 2020-7-7 11:58
老师，web安全测试在目前测试市场前景如何？？？

现在大型的公司都有自己的安全部门，所以做web安全测试可以进到甲方进行渗透测试，也可以去乙方安全厂商进行安全产品的测试。这两个可能侧重点有所不同，前者重点在于攻，后者重点在于防。

enjoyhappylife

bellas 发表于 2020-7-2 10:53
老师，我想问一下，可以科普下web安全测试入门，以及入门后的该怎么学习

web安全测试就是对于整个web系统进行的安全防护测试，web系统涉及到后端数据库，中间服务器，前端页面，脚本，底层操作系统，数据的走向也是从前端页面到中间服务器到后端存储，因此任何一个阶段如果存在安全漏洞，对于整个系统可能都是致命的，我们做web安全测试就主要是从这些层面进行测试，比如前端显示如果对于数据不进行处理，用户的输入原封不动的显示出来，那么就可能有XSS跨站攻击漏洞，而在服务器层面，用户可能输入了一些字符，这些字符被程序当做脚本来执行了，再或者用户输入了一些命令，被当做系统命令来执行.
攻击者也可能在页面加入了一个url, 当我们点击这个url之后，我们的用户名密码都被传到攻击者的网站上，等等这些都是我们要进行测试的内容， web安全测试的内容非常的广，web攻击的技术也在不断地发展，我们也要不断地学习。

enjoyhappylife

李单单 发表于 2020-7-7 11:29
想问老师一般公司的安全测试是由专职的安全测试员来做，还是普通的测试工程质兼职

如果系统功能不复杂的话可能普通的测试工程师把功能测试安全测试性能测试等全做了，但是如果在大公司，或者系统功能很复杂的话，就需要专门的安全测试来做。

enjoyhappylife

bellas 发表于 2020-7-2 10:56
老师，想问一下对于小白，不知道要学习这一方向的知识，应该要学些什么呢？又应该从什么开始学呢

建议先读一下web安全测试或者白帽子讲web安全，首先要学习web系统有哪些漏洞，了解漏洞的原理，对于每个漏洞，我建议可以围绕以下个几个问题来学习：比如学习XSS跨站攻击,那我们首先得要知道跨站攻击是什么？黑客利用跨站攻击都能干什么事情？怎么来进行跨站攻击？对于跨站攻击怎么防护？最后一个问题就是，对于一个网站，我们如何测试，是否存在跨站攻击的漏洞？

郭小贱

老师，渗透测试是不是属于安全测试的一种？如果是，那该如何入门渗透测试呢？