安全测试全面总结-11-安全测试流程 SDL 这个规范是资深安全工程师一定要学的 是一个公司进行安全建设一定要看的
###
再次系统的整理一下深入一下安全测试
###
sdl是微软的,
国内普遍试了了这个规范,
因为国内的互联网崛起,急需一个安全规范,阿里是10年引入的,
这是安全测试工程师,必然会提到的一个,sdl
###
####
具体的sdl的介绍,去官网看
###
首先要进行安全培训
静态扫描
动态扫描
这是一个资深的安全测试工程师必须要学习的,
####
比如要整个公司,进行一个安全的建设,就要参考这个
部门要培训
###
公司提供什么服务,可能会遇到什么样的漏洞,
要确定一个范围,建立一个安全的模型,
然后就基于这个进行攻击了
owasp - zap是非常强大的,使用是非常简单的,
###
安全测试的自动化实现
可以把zap工具,继承到Jenkins,进行自动化的安全测试,
这是文档,如果要搭建自动化的扫描就是看这个文档,
如果是自己做测试平台,肯定是就是用zap的api,来定制
###
sqlmap
安装直接pip install sqlmap
可以使用命令行,指定url,指定cookie,然后进行扫描
这样就可以直接扫描出来漏洞
最后可以给你一个报告
这个工具的亮点是规则还是很全面的,
白盒代码扫描工具,sonar qube
###
总结
安全领域是非常深的,要学习的东西是非常非常多的,
一个漏洞深挖,都可以挖出来很多的东西,每一个漏洞都可以分很多类,
在安全领域,需要很多年的经验,进行挖掘,
安全这个路是非常窄的,一般就是去大公司
扫描只是安全的一部分,还有一部分是安全的防范,预防问题
一般做业务测试的同学,是很难进入这个领域的,因为这个领域的水更深,如果没有专业的导师教你,没有专业的公司教你,其实很难在这个行业有一个很深入的学习的,
建议:如果有这个环境,就努力学,如果没有这个环境,就先不要学这个,先把已经有的工作做好,有机会了再考虑,
###
等保
全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
是一个国家级别的项目,
做一次很贵的,要几十万,但是好处就是你出了安全问题,是有人给你背锅的,这是一个行业的潜规则,
####
相关文章
- 家政保洁公司网站建设方案与网站建设流程
- Git-Flow 的工作流程最全面使用总结
- 网站建设流程分享,企业网站建设平台如何做网站
- 浅谈公司接到项目的流程,以及整个业务线涉及的岗位
- 从单点智能到全流程AI,腾讯云智能AI能力「成团出道」
- Hbuilder用自有证书打包 ios App上架AppStore流程
- 【Android 逆向】ART 脱壳 ( DexClassLoader 脱壳 | oat_file_assistant.cc 中涉及的 oat 文件生成流程 )
- Jenkins + Docker 一键自动化部署 Java Spring Boot 应用最简流程
- Spark算子执行流程详解之四大数据
- 离散制造与流程制造的区别详解编程语言
- Google Glass未死,这家公司在用它改善医生工作流程
- Oracle财务管理系统:高效管理企业财务流程(oracle财务管理系统)
- Linux 上使用 Yum 安装软件的流程(yumlinux)
- C与Oracle高效协作,提升效率优化流程(c++?用oracle)
- Redis读取操作的完整流程(redis读取操作流程)