小王最近在51cto(http://bbs.51cto.com/thread-889997-1.html)看到一個帖子,是關於如何學習系統安全性測試的,小王回覆了一下,帖子內容如下:有網絡功底!做過網絡安全,對網絡設備 安全設備非常熟悉,精通網絡協議 安全協議。!沒做過開發。不懂語言腳本! 現在公司要求做應用系統安全性測試。請問從事這方面的工作員 指點一二! 如果實在不行,我想還是放棄了.. 求指點!!!!!
小王的回覆:不清楚樓主是在軟件公司還是安全公司,但有網絡安全功底,做應用系統安全性測試還是有很大幫助的。我不是專業人士,只能通過自身經歷,與大家分享一下我對應用系統安全性測試的看法。
1、應用系統自身安全性,比如防破解。小王單位以前找軟件公司開發過一套檔案管理系統,每次在安裝都需要根據一組生成的字符串,再用註冊機生成註冊碼後才能正常使用,比較麻煩,軟件公司也不給註冊機,小王只好找到相關開發工具的反編譯軟件讀取這套軟件的源代碼。原來這套軟件的註冊碼是根據計算機硬盤的序列號,通過一個加密函數生成的,比較簡單,知道原理後,小王就些了個小程序,自己生成註冊碼。如果防破解做的複雜些,不至於這麼容易被破解。
2、應用系統要注意在使用過程中不要泄露敏感信息。小王的一位同事在使用一套上級部門下發的一套MIS系統時,遇到一些問題,找小王給看一下,在分析過程中,小王發現需要修改一下數據庫中的某表的某字段,數據庫在本地,通過odbc連接,需要用戶名和密碼纔可以連接上,小王先把數據庫備份了一下,然後刪除掉,再運行程序,程序由於無法找到這個數據庫文件,就彈出一個odbc連接框,其中就有明文的用戶名和星號顯示的密碼,用星號讀取軟件就知道了數據庫的密碼,估計開發這套軟件的軟件公司都用的是這個密碼。小王要說的是,應用系統在使用過程中,會遇到各種各樣的操作系統環境,有時某個錯誤就會泄露出軟件的一些敏感信息,開發者需要作好屏蔽錯誤信息。
3、應用系統是否會對使用者的計算機造成安全隱患。幾年前,坊間有傳聞,某通訊軟件有遠程溢出漏洞,***者可獲得使用者計算機的管理權限。做這類應用系統的安全性測試,對測試者的技術要求很高,尤其是低層方面的。
4、應用系統是否會對相關數據庫和數據庫服務器產生安全威脅。小王以前寫過一篇這方面的文章,題目是:國內多家軟件公司產品存在安全隱患,地址:http://www.5iadmin.com/post/332.html,樓主可以看一下。
如何學習系統安全性測試
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
微軟和谷歌將在未來 5 年內投資 300 億美元用於網路安全
therfigeln
2021-08-31 11:14:43
託管 DNS 服務雲中的漏洞讓攻擊者監視 DNS 流量
therfigeln
2021-08-13 11:07:08
一個嚴重的亂數產生器缺陷影響了數十億的物聯網設備
therfigeln
2021-08-11 11:07:50
印度版Twitter---Koo,受到嚴重的蠕蟲攻擊!
therfigeln
2021-08-09 11:21:02
報告:2021 年DDoS 攻擊量呈上升趨勢
therfigeln
2021-06-01 13:46:25
黑客入侵富士通ProjectWEB平台,日本多個政府數據被竊取!
therfigeln
2021-05-31 11:23:23
加拿大保險公司guard.me遭網絡攻擊,目前已關閉網站!
therfigeln
2021-05-25 11:43:13
突發!愛爾蘭衛生系統遭黑客攻擊!網上疫苗預約均無法進行!
therfigeln
2021-05-18 11:31:06
你的外賣信息真的安全嗎?當心!Glovo遭受網絡攻擊用戶信息被拿到網上售賣!
therfigeln
2021-05-13 11:17:14
拜登:政府正調查燃油公司黑客攻擊事件:已確定被勒索軟件感染
therfigeln
2021-05-12 11:46:16
【網絡安全】企業加快偵測內部網絡威脅警覺性提高
therfigeln
2021-05-10 13:48:56
美國政府警告Fortinet軟件漏洞恐遭國家黑客開採!
therfigeln
2021-04-08 14:22:09
2018年國內DDOS功擊數據報告
近墨者黒
2019-02-24 12:55:03
信息系統安全管理以及風險管理
hua0221
2019-02-23 13:43:41
計算機網絡安全應急響應中心
ifuckyours
2019-02-23 13:40:57