安全性測試都有什麼?簡單的就包括跳過權限驗證啊,修改提交信息啊,複雜的呢,就有sql盲注、跨站點腳本等等。這些咱們暫時不一一細表,只說說我們爲什麼要進行安全性測試。、
其實網上關於安全性測試的資料並不是非常多,即使有人關注已只是很淺顯的談到部門安全性因素。當然,據我瞭解部分大公司都有自己的安全性測試團隊,這部分工作並不由測試人員進行。
胡扯了兩句,今天我們來聊聊爲什麼進行安全性測試,或者說,安全性到底會引起哪些問題、後果。
第一,提到安全,我們一個產品一個網站最需要加強安全防範的就是數據庫。那麼如果缺少了安全性測試,在高手的sql盲注下,你的數據庫就會逐步展現在***的面前,無論是數據庫類型、表結構、字段名或是詳細的用戶信息,都有無數種手段可以讓人“一覽無餘”。
第二,就是權限。網站一般都規定了什麼樣的用戶可以做什麼事。比如版主可以修改所有人的帖子,而你普通用戶只能編輯自己的帖子,同樣遊客只能看大家的帖子。這就是簡單的權限。如果少了安全性保證,那麼就容易有人跳出權限做他不該做的事情。
簡單舉個小例子,一個登錄模塊,讓你輸入用戶名密碼。我們會老老實實的輸入我們的用戶名密碼,比如“風落幾番”-“password”。如果我們刻意的去繞過登錄認證呢?
猜想一下這個sql,單說用戶名,開發人員很可能會這樣去數據庫裏對比:
Select count(id) from sys_user where username=‘XXX’
當然可能更復雜,咱們就用這個說。如果我們在輸入框裏輸入一段特殊的字符會如何?
’or‘1=1
這是段神奇的字符,因爲這樣這個sql就變成:
Select count(id) from sys_user where username=‘’or‘1=1’
好吧,我們就跳過了用戶名的驗證。。。
說的好基礎和無聊的感覺,其實這就是安全性的一部分。接着說第三,就是修改提交數據信息。曾經我們公司做過一個關於在線支付的商城,在安全性測試過程中,我發現通過抓包抓到的提交價格,經過修改再發包可以通過。簡單來說就是本來100塊錢買的東西,我抓包修改爲1塊就能成功購買。這就成爲了一個巨大的隱患。
再說第四,類似跨站腳本的安全隱患。這方面網上資料很多,具體過程呢就像這樣:
1.HTML注入。所有HTML注入範例只是注入一個JavaScript彈出式的警告框:alert(1)。
2.做壞事。如果您覺得警告框還不夠刺激,當受害者點擊了一個被注入了HTML代碼的頁面鏈接時***者能作的各種的惡意事情。
3.誘捕受害者,可能會redirect到另一個釣魚網站之類的,使其蒙受損失。
有點寫累了,就先介紹到這裏,啓蒙一下,具體的測試方法會慢慢介紹給大家。
爲什麼要進行安全性測試?(安全性測試啓蒙教育)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
單元測試、集成測試、系統測試的側重點
Vince_Lee
2019-02-23 13:53:02
第一篇
zhouym_007
2019-02-23 13:37:48
測試一下
kaixinhai2010
2019-02-23 13:35:21
Web服務器測試和監控工具及組件介紹
znlingdong
2019-02-23 13:29:59
怎樣做好網站建設初期的測試工作
yuncash
2019-02-23 13:25:11
GYKZ-2直流電阻測試儀
恆新國儀
2019-02-23 13:12:43
測試博客
zhengguo07q
2019-02-23 13:04:42
cisco路由交換系統測試命令
51CTOYoung
2019-02-23 13:00:58
軟件迴歸測試及其實踐
life0
2019-02-23 12:55:51
軟件測試用例的認識誤區
life0
2019-02-23 12:55:51
軟件測試也要做過程改進
life0
2019-02-23 12:55:51