专栏首页用户6517667的专栏软件安全性测试(连载26)

软件安全性测试(连载26)

5 本章总结

5.1 介绍内容

•软件安全知识概要

Ø软件安全分类

Ø软件安全性与便捷性

Ø白帽子黑客、黑帽子黑客

Ø白帽子兵法

u默认规则

u纵深防御原则(Defense in Depth)

u数据与代码分离原则

u不可预测性原则

Ø软件安全三要素

u机密性(Confidentiality)

u完整性(Integrity)

u可用性(Availability)

ØWeb软件安全威胁OWASP Top 10

Ø同源策略

ØHTTP协议简介

uHTTP协议包

u请求包

u响应包

•软件安全测试

ØXSS注入

uXSS原理

u XSS注入分类

uXSS会话劫持

uXSS蠕虫

uXSS测试方法

u XSS防护方法

ØCSRF注入

uCSRF注入介绍

u CSRF注入分类及攻击方法

uCSRF测试方法

u CSRF防护方法

Ø点击劫持

ØHTML5的安全

u<audio><video>标签

u iframe安全性

ua标签的rel="noopener noreferrer" 属性

u Canvas

u获取地理坐标

u本地存储

ØSQL注入

uSQL注入原理

u SQL注入类型

uMySQL数据库特性

u SQL Server数据库特性

uOracle数据库特性

u SQL注入的测试方法

u SQL注入的防护方法

Ø其他代码注入

uXML注入

u XPath注入

uJSON注入

ØHTTP参数污染(HPP)

u PHP参数污染

uJava参数污染

uHPP的威胁

uHTTP参数处理

u HPP的防护方法

Ø信息侦探

u Baidu Hack

unmap

uDirBuster

u指纹识别

u对于信息侦探的防护方法

Ø文件上传漏洞

u两个著名的文件上传漏洞

u绕过前端检查

u文件上传的防护方法

Ø命令行漏洞

u命令行漏洞概要

u PHP命令执行

uJava命令执行

u Python命令执行

u案例分享

u框架执行漏洞

u命令行漏洞防护方法

ØXXE漏洞

u通过程序获取XML内容

uXML内部实体

u XML外部实体

u XXE的测试方法及防护方法

Ø文件包含漏洞

u PHP文件包含

uJSP文件包含

u文件包含漏洞测试方法

u文件包含漏洞防护方法

Ø逻辑漏洞

u水平越权

u垂直越权

u支付漏洞

u用户封锁

u密码找回

u并发操作

Ø加密与认证

u区块链及其加密技术

u认证防护

u会话管理安全

u传输层安全

u案例

ØDDOS攻击

Ø钓鱼和网页跳转

u网页跳转

u钓鱼

ØARP欺骗

Ø安全响应头信息

Ø其他高级技术

u拖库

u暴力破解

u旁注攻击

u提权

•APP安全测试概要

Ø逆向工程-反编译测试

Ø键盘劫持

Ø信息泄露

•安全测试流程

Ø需求阶段

u根据产品类型评价安全性级别

u确定各功能的安全性优先等级

u分析可能存在何种安全性问题

Ø设计阶段

Ø开发阶段

Ø测试阶段

5.2 案例

案例

所在章节

案例4-1 XML注入

2.6-1 XML注入

案例4-2 XPath注入

2.6-2 XPath注入

案例4-3 JOSN注入

2.6-3 JOSN注入

案例4-4 命令行漏洞

2.10-5 案例分享

案例4-5 水平越权

2.13-1 水平越权

案例4-6 垂直越权

2.13-2 垂直越权

案例4-7 用户登录页面安全用例设计

2.14-5 案例

案例4-8 注册用户安全用例设计

2.14-5 案例

案例4-9 找回密码安全用例设计

2.14-5 案例

案例4-10 电子商务系统的安全测试流程

4 安全测试流程

科学是一种强有力的工具。怎样用它,究竟是给人带来幸福还是带来灾难,全取决于人自己,而不取决于工具。刀子在人类生活上是有用的,但它也能用来杀人。

——爱因斯坦

本文分享自微信公众号 - 软件测试培训(iTestTrain),作者:顾翔

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Jmeter之接口测试使用流程

      采样器:较常用HTTP请求、JDBC Request、SOAP/XML -RPC RRequest

    小老鼠
  • DevOps工具介绍连载(26)——OpenStack Heat

    Heat模板全称为heat orchestration template,简称为HOT。

    小老鼠
  • 敏捷软件质量保证的方法与实践

    来源:https://www.cnblogs.com/wintersun/p/5297352.html

    小老鼠
  • 腾讯安全 X GeekPwn,一场产业安全攻防大秀 | 1024

    今天,国际安全极客大赛GeekPwn2019在上海正式拉开帷幕。作为GeekPwn的“老朋友”,腾讯安全连续六年来到现场,与GeekPwn一起见证极客的奇思妙想...

    腾讯安全
  • python构造一个http请求

    我们经常会用python来进行抓包,模拟登陆等等, 势必要构造htt...

    py3study
  • 企业安全体系架构分析:开发安全架构之可用性架构深入讲解

    之前发布了一篇文章《企业安全体系架构分析:开发安全架构之可用性架构》,其中粗略的讲解了一下可用性架构的设计理念,应读者要求,这篇文章将深入讲解什么是可用性架构。

    FB客服
  • NoSQL初探之人人都爱Redis:(2)Redis API与常用数据类型简介

      首先,不得不说Redis官方提供了众多的API开发包,但是目前Redis官方版本不支持.Net直接进行连接,需要使用一些第三方的开源类库。目前最流行的就是S...

    Edison Zhou
  • 免流集成破解版授权 一键备份数据库 网页端防DDOS脚本 等21个集成脚本

    Youngxj
  • Python Django性能测试与优化指南

    摘要:本文通过一个简单的实例一步一步引导读者对其进行全方位的性能优化。以下是译文。

    用户2337871
  • Java线程(十一):Fork/Join-Java并行计算框架

    并行计算在处处都有大数据的今天已经不是一个新鲜的词汇了,现在已经有单机多核甚至多机集群并行计算,注意,这里说的是并行,而不是并发。严格的将,并行是指系统内...

    高爽

扫码关注云+社区

领取腾讯云代金券