安全测试概述和用例设计
2023-09-27 14:21:26 时间
参考内容:《质量全面监控:从项目管理到容灾测试》
一、安全测试概述
定义:安全测试是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。
概念:安全测试是检查系统对非法侵入渗透的防范能力。
准则:理论上来讲,只要有足够的时间和资源,没有无法进入的系统。因此,系统安全设计的准则是使非法侵入的代价超过被保护信息的价值。
目标:通过对系统进行精心、全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,确保系统的安全性。安全性一般分为应用程序级别和系统级别,区别如下:
应用程序级别:包括对应数据或业务功能的访问,核实应用程序的用户权限只能操作被授权访问的那些功能或数据。
系统级别:包括对操作系统的目录或远程访问,主要核实具备系统和应用程序访问权限的操作者才能访问系统和应用程序。
二、基本过程
1、安全开发生命周期
2、安全测试流程图
三、安全测试工具
序号 | 名称 | 简介 |
1 | IBM AppScan | 一个领先的web应用安全工具,可自动进行安全漏洞评估、扫描和检测所有常见的web应用安全漏洞,如:SQL注入、跨站点脚本攻击(CSS)、缓冲区溢出等 |
2 | Burp Suite | 一个用于攻击web应用程序的集成平台,包含大量的安全测试工具,并为这些工具设计了对外访问接口,以加快攻击应用程序的过程 |
3 | Metasploit | 一款开源的安全漏洞检测工具,可以帮助安全人员和IT专业人士识别安全性问题,挖掘漏洞,攻击漏洞,并评估漏洞风险级别 |
4 | Wireshark | 适用于Windows和Linux的网络协议分析工具,也是一个很出名的数据包分析工具,可以检查网络流量,是观察TCP/IP异常流量的很好的工具 |
5 | Kail Linux | 目前比较流行的安全渗透测试平台,包含了最新的安全测试工具,允许用户从CD或者U盘启动,通过U盘来实施安全渗透测试 |
四、常见的安全测试用例
根据不同的安全测试类型,需要采用不同的测试方法来对测试项进行验证。下面列出了常见的一些安全测试用例。仅供参考:
以上内容仅供参考,具体还需要多实践,考虑具体的业务场景来进行测试。。。
相关文章
- 渗透测试 ( 8 ) --- Burp Suite Pro 官方文档
- 「银行测试」这套题目你必须要会
- 接口测试系列——转转交易业务场景接口测试实践
- 从 0 开始学 Python 自动化测试开发(二):环境搭建
- web安全day41:三种典型渗透测试流程
- (转)不格式化硬盘 机密数据也能安全清除 -- 有待机会测试
- 渗透测试-Web安全测试信息收集篇
- 渗透测试-不安全的文件下载原理及案例
- 让 API 测试变的简单。
- 《WEB安全渗透测试》(32)红队PowerShell 有效负载生成与https加密
- 《WEB安全渗透测试》(20)payload攻击载荷
- 《WEB安全渗透测试》(18)DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现(2)
- 《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1)
- 《WEB安全渗透测试》(14)一个文件包含漏洞(需要利用菜刀原理)
- 《WEB安全渗透测试》(8)SQL注入实战:cookie注入
- 《WEB安全渗透测试》(2)SQL注入实战:boolean注入
- 【C/S架构安全测试】客户端安全测试小结
- 使用IEDriverServer.exe驱动IE11,实现自动化测试
- 【安全测试zap扫描】OWASP ZAP安全扫描
- 性能测试之操作系统计数器分析方法
- 面向对象的类测试技术研究
- 你所需要知道的关于Web应用程序安全测试的事情
- 自动化测试中用到的一些功能类
- SSD硬盘性能测试比较
- 安全测试之前言
- 银行系统性能测试策略探讨
- 【安全测试】13款免费的安全测试工具