文章目錄
- 前言
- 安全測試是什么
- 簡單基礎的安全測試方法
- 密碼安全
- 操作權限驗證
- SQL注入
- xss腳本攻擊
- 文件上傳
- 下載安全
- 漏洞掃描
- Web掃描
- APP掃描
- 面試題庫(僅參考)
- 參考目錄
前言
閱讀本文前請注意最后編輯時間,文章內容可能與目前最新的技術發展情況相去甚遠。歡迎各位評論與私信,指出錯誤或是進行交流等。
安全測試是什么
安全測試是一種軟件測試,可發現軟件應用程序中的漏洞,威脅,風險并防止來自入侵者的惡意攻擊。 安全測試的目的是確定軟件系統的所有可能漏洞和弱點,這些漏洞和弱點可能導致信息,收入損失,組織雇員或外部人員的聲譽受損。
安全測試的目標是識別系統中的威脅并衡量其潛在漏洞,以使系統不會停止運行或被利用。 它還有助于檢測系統中所有可能的安全風險,并幫助開發人員通過編碼解決這些問題。
簡單基礎的安全測試方法
1.密碼安全
2.操作權限驗證
3.sql注入;
4.xss腳本攻擊;
5.運用掃描工具appscan掃描web系統。
6.掃描app的一般用騰訊wetest 等平臺測試。
密碼安全
- 測試前端(web)時我們首先檢查一下用戶的敏感信息有沒有進行加密顯示
- 通過Fiddle抓包工具檢查一下用戶的敏感信息有沒有進行加密后傳輸如:用戶密碼,相應的銀行卡,個人信息等,再到日志中搜索關鍵信息,能搜索到,就泄密,存在安全漏洞。
- 發送請求的數據篡改例如:打開fiddler工具,設置過濾器,設置斷點把商城里的支付訂單的1000完金額修改成1塊錢,再放行發送數據,看是否,支付1塊錢,訂單支付成功,如果成功則是bug,預期結果是支付金額不對才行。
- 密碼輸入錯誤次數超限會鎖定賬號
- 除了賬號密碼,需要圖形驗證碼或短信驗證碼
- 用戶名不存在和密碼錯誤需提示用戶名或密碼錯誤
- 密碼傳輸非明文傳輸,且加密類型不能太簡單(如僅通過md5加密),日志系統中也不能將明文密碼打印出來
- 密碼加密存儲
- 用系統默認賬號admin/123456、admin/admin、root/123456等是否可以登錄系統
操作權限驗證
訪問控制是指用戶對系統訪問的權限控制,通常包括水平權限和垂直權限。訪問控制問題是所有業務系統都可能產生的邏輯類漏洞
水平越權:同一權限(角色)級別的用戶之間所產生的問題,如 A 用戶可以未授權訪問 B 用戶的數據等。
垂直越權:不同權限(角色)級別的用戶之間所產生的問題,如普通用戶可未授權進行管理操作,未登錄用戶可以訪問需授權應用等。
以下是一些權限測試點(僅供參考):
1.通過頁面創建不同的角色賬號,并且分配角色權限模塊,在頁面登錄不同的賬號去確認賬號的權限
2.一次只給用戶單獨設置一個權限,設置之后檢查該權限是否生效
3.給用戶不設置任何權限,設置之后檢查該用戶能否使用系統
4.給用戶設置全部權限,設置之后檢查所有權限是否生效
5.給用戶設置部分權限,設置之后檢查部分權限是否生效
6.用戶正在進行相關的操作,管理員為該用戶添加其他權限,是否能進行
7.用戶正在進行相關操作,管理員為該用戶取消該權限,是否能進行
8.登錄用戶能否修改自己的權限
9.不給用戶授權,是否允許登錄
10.只有修改或編輯自己信息的權限時,能否同時修改或編輯其他用戶數據的權限
11.用戶能否同時屬于多個組,各個組的權限能否交叉
- 只給用戶單獨設置一個權限,設置之后檢查該權限是否生效
2.給用戶不設置任何權限,設置之后檢查該用戶能否使用系統
3.給用戶設置全部權限,設置之后檢查所有權限是否生效
4.給用戶設置部分權限,設置后檢查部分權限是否生效
5.用戶正值進行相關操作,管理員為該用戶添加其他權限,是否能進行
6.用戶正在進行相關操作,管理員為該用戶取消該權限,是否能進行
7.設置權限的同時,是否有對應的權限設置日志
8.對權限樹的父子節點關聯關系進行測試
①選中父權限,檢查是否所有的子權限默認被選中
②只選擇部分子權限,檢查對應的父權限師父被選中
③刪除部分子權限(沒有刪除部分子權限),此時父權限應該還是選中狀態
④刪除全部子權限,此時父權限應該自動被取消
9.用戶能否根據自己的需要對權限信息進行維護 - 除管理員外,用戶不能給自己進行權限的設置
- 權限數據在數據庫中存儲時,建議進行加密處理,防止有惡意用戶共破數據庫后,
可以給自己任意權限,以給系統造成損失。
12.賦予該用戶權限后,系統界面展示所擁有的權限,并驗證權限是否正確
13.重新注冊系統變工登錄身份后再登錄,檢查權限是否正確(檢查賬號信息混亂)
14.在有角色管理的情況下,刪除包含用戶的角色,是否能正確處理 - 不同權限登錄同一個系統,權限范圍是否正常
16.覆蓋系統的所有權限測試
17.能否添加信息為空的用戶(其中包括空用戶名及空口令、空用戶名非控口令、非空用戶名及空口令)
18.能否添加長用戶名及長口令,如果允許,新用戶能否正確登錄
19.系統是否允許刪除系統管理員這一特殊用戶或修改系統管理員口令刪除或修改后系統的實際情況
20.添加用戶(用戶名、口令):
①口令相同,用戶名不同
②口令相同,用戶名相同
③口令不同,用戶名相同
④口令不同,用戶名相同
21.用戶登錄能否修改本人或其他人的信息,刪除本人(高權限對低權限操作,低權限操作低權限)
22.修改用戶信息(包括口令、權限、基本信息)對其他模塊的影響
23.對修改后的用戶信息和已經存在的用戶信息相同(是否支持信息相重)
24.不給用戶授權,是否允許登錄
25.修改某些設置時,是否會影響具有上級權限及相同權限人員
26.勾選多項權限時 是否產生了新的權限 或減少了某些權限
27.只有修改或編輯自己信息的權限時,能否同時修改或編輯其他用戶數據的權限
28.用戶能否同時屬于多個組,各個組的權限能否交叉;
29.刪除后重新添加的用戶是否具有以前的權限;更改用戶各項屬性(包括權限)看對權限是否有影響。
30.使用不同權限登錄,測試各自權限規定內的功能能夠實現
31.在不同的瀏覽器或OS中同時分別登錄,測試各自權限內功能能否實現
32.增刪改查測試:管理員權限能夠增刪改查自己/同級/下級的用戶設置,普通權限能夠刪除修改管理員和其他普通權限等級用戶的設置
以上增刪改查的操作能否實現相應改動的權限功能,并且查看是否會影響上級權限及相同權限等級的設置
33.如果有涉及權限劃分,那就測試不同權限的用戶權限是否一致;修改后的權限再次檢查是否回顯成功
34.最后測試關于不同權限用戶對數據庫的權限控制,如對數據庫控制權限的缺省設置的正確性、對數據的增刪改查、對不同字段的控制權限
SQL注入
關于SQL注入的博客請參考:https://blog.csdn.net/qq_39635178/article/details/148613215
xss腳本攻擊
關于 xss腳本攻擊內容可參考:https://www.bilibili.com/video/BV1hY411a7P5
https://blog.csdn.net/qq_64177395/article/details/141260861
https://blog.csdn.net/leiwuhen92/article/details/133294533
https://blog.csdn.net/npc88888/article/details/136454472
https://blog.csdn.net/m0_74249600/article/details/141168141
https://blog.csdn.net/fd2025/article/details/124425225
可通過正向的XSS腳本攻擊,以及所給出的防御手段,或者通過白盒的方式 查看代碼是否防御了XSS腳本攻擊。具體如何從代碼層面防御,可以自行查閱資料。
文件上傳
(1)上傳可執行文件(exe文件)-----------------根據需求而定
(2)上傳常見的木馬文件------------------------提示不能上傳
(3)上傳時服務器空間已滿----------------------有提示
下載安全
(1)文件下載是否可以通過修改路徑下載其它文件
(2)需權限下載的文件是否可以繞過鑒權直接訪問鏈接進行文件下載
漏洞掃描
Web掃描
AppScan是一款商業化的web安全掃描工具,web掃描領域十分受歡迎
【安全測試】AppScan——下載安裝與使用教程(圖文詳解)
[安全測試】appscan下載與安裝
Appscan 的安裝與使用
漏掃工具Appscan使用簡介
安全測試:AppScan掃描工具教程
漏掃工具Appscan使用(非常詳細)
通過appscan掃描工具去掃描,我們一般是這樣操作的;
1.啟動軟件進入主界面—>選擇創建新的掃描:
2.在彈出的新建掃描對話框中選擇常規掃描:
3.在彈出的掃描配置向導對話框中選擇AppScan(自動或手動),點擊下一步:
4.在此頁面中填寫需要掃描系統的網址,點擊下一步:
5.選擇登陸方式為記錄,點擊下一步:
6完成系統登錄操作后,關閉瀏覽器,選擇登錄管理中的“詳細信息”;
7.在“詳細信息”中,取消“激活會話中的檢測”,同時在“登錄會話標識中”,對變量參數值進行跟蹤以確保參數的正確處理而獲得系統訪問權限;
8.把密碼修改頁面URL、用戶權限刪除URL等頁面添加至排除測試范圍,防止Appscan的請求產生相應影響(防止Appscan修改密碼或刪除用戶帳號);
9.在“自動表單填充”中,填入用戶名和密碼參數,并填寫參數值,其余不做修;
10.如果測試過程中,應用服務出現性能響應過慢的問題,適當調整測試線程數為2~5;
11.測試策略選擇為“嚴重性”進行過濾只勾選關注的嚴重性級別,把“高”、“中”和“低”選上。
13.點擊確定按鈕,結束掃描配置工作;
14.點擊掃描按鈕,選擇“僅探索”,Appscan開始執行探索工作;
15.探索自動結束后,點擊“手動探索”按鈕,此時,在彈出的IE瀏覽器窗口中登錄系統,手工的任意訪問系統頁面(1~10個),關閉瀏覽器;
16.在彈出的參數添加窗口中,點擊“確定按鈕”;
17.點擊掃描按鈕,選擇“完全掃描”,Appscan開始執行測試工作;
18.測試執行結束后,點擊報告按鈕,選擇關注的測試結果信息,勾選“報告內容”里的所有勾選;
19.“保存報告”,保存類型建議選擇為html;然后分析報告。
APP掃描
APP安全測試實操:https://blog.csdn.net/qq_43775006/article/details/129322994
WeTest小程序滲透測試
移動端App安全掃描工具MobSF安裝及入門使用
面試題庫(僅參考)
https://blog.csdn.net/weixin_45912307/article/details/108661479
https://blog.csdn.net/weixin_45912307/article/details/108809185
https://blog.csdn.net/weixin_45912307/article/details/109457138
https://blog.csdn.net/weixin_45912307/article/details/109459134
https://blog.csdn.net/weixin_45912307/article/details/109481695
https://blog.csdn.net/weixin_45912307/article/details/109500952
https://blog.csdn.net/weixin_45912307/article/details/109501092
https://blog.csdn.net/weixin_45912307/article/details/109523627
https://blog.csdn.net/weixin_45912307/article/details/109523627
https://blog.csdn.net/weixin_45912307/article/details/109523632
https://blog.csdn.net/weixin_45912307/article/details/109438188
https://blog.csdn.net/hong521520/article/details/125717813
https://blog.csdn.net/2301_80119299/article/details/143802088
https://blog.csdn.net/2401_86943461/article/details/143774658
https://blog.csdn.net/huace3740/article/details/140217118
https://blog.csdn.net/u012111923/article/details/138575613
https://blog.csdn.net/2301_77645834/article/details/144312281
https://blog.csdn.net/nhb687095/article/details/140064091
https://blog.csdn.net/2201_76100073/article/details/147231003
參考目錄
https://blog.csdn.net/karsa__/article/details/111934825
https://blog.csdn.net/m0_64983639/article/details/128790871
)
