<ruby id="rxdll"></ruby><strike id="rxdll"></strike>
    <rp id="rxdll"></rp>
    

      <del id="rxdll"><meter id="rxdll"></meter></del>
      <pre id="rxdll"><font id="rxdll"></font></pre>
        <pre id="rxdll"></pre>
      <p id="rxdll"><thead id="rxdll"></thead></p><dl id="rxdll"><progress id="rxdll"><form id="rxdll"></form></progress></dl>
      <ol id="rxdll"><thead id="rxdll"><track id="rxdll"></track></thead></ol>
      
<i id="rxdll"><dfn id="rxdll"></dfn></i>
      <font id="rxdll"><meter id="rxdll"></meter></font>
        <mark id="rxdll"><dfn id="rxdll"></dfn></mark>
        

        


        
  	
  	
        
  		
          
  			
        • 軟件測試技術
          • 
  			
        • 軟件測試博客
          • 
  			
        • 軟件測試視頻
          • 
  			
        • 開源軟件測試技術
          • 
  			
        • 軟件測試論壇
          • 
  			
        • 軟件測試沙龍
          • 
  			
        • 軟件測試資料下載
          • 
  			
        • 軟件測試雜志
          • 
  			
        • 軟件測試人才招聘
          • 
  		
        
  	
        

        
  
  
  
  
        
  	
        

        
    
    
    
        
  	
        
  	
        


          
暫時沒有公告

        

        

  	
        
  
        
  

        


        

        

        
  		
  		
  		
        
  			
        
          
字號:    |
推薦給好友
 上一篇 |
下一篇
        
        
        
        軟件測試中web安全黑盒測試之保證測試的全面性
        
        
        
          發布: 2010-12-23 11:28 |
作者: 網絡轉載 |
來源: 
領測軟件測試網采編 |
查看: 408次 | 進入軟件測試論壇討論
        
        
        
        
        領測軟件測試網

        

        

        軟件測試中web安全黑盒測試之保證測試的全面性
        

        在目前的 WEB 安全黑盒測試方法中,一般是按照黑客攻擊的手法進行測試,以達到準確性與全面性。那么,如何保證黑盒測試的全面性與準確性呢?總結一下,可以有以下幾個方面:
        

        1、對產品項目的熟悉程度。
        

        測試之前,對項目進行了解跟蹤,熟悉項目的所有功能、接口以及與其他項目的關聯性(有時候A項目的功能會造成B項目存在安全風險)。
        

        2、全面的技術知識。
        

        由于每個項目的功能都不同,可能涉及到的應用就不同,有的項目是視頻應用,就要了解flash腳本編寫技術與前端配置知識,大多數 flash蠕蟲都是因為前端配置問題造成的。有些項目用到了AJax,那么測試人員就必須了解AJax的知識。有的項目用到 ActiveX 插件,那么就要知道 ActiveX 可能造成的安全問題,等等。所以,安全測試人員要掌握全面技術知識,才可以對每個項目進行測試,并不因為新項目中包含新的技術而放棄測試。同時還要有不斷的學習能力,遇到未知的技術要進行快速學習,然后對項目進行測試。
        

        3、超強的漏洞挖掘能力,以及實戰能力。
        

        安全測試時,必須按照黑客攻擊的手法進行測試,所以,這就要求WEB安全測試人員擁有超強的漏洞挖掘能力與漏洞認知度。同樣還要擁有實戰經驗,一個沒有實踐經驗的測試人員,不是一個好的安全測試人員,當安全測試人員并不知道安全BUG所造成的的方式與利用后所造成的影響,就不能全部的發現所有安全BUG,同時又不能在各個安全BUG危險度上進行分級,這就造成一些安全BUG的疏漏。
        

        4、黑盒測試標準
        

        總結出一個黑盒測試標準文檔,對所有可能影響的安全漏洞進行羅列,并詳細描述黑盒測試的方法與步驟,在項目測試過程中對條目中的所有漏洞進行檢測,并嚴格按照規定的方法進行測試。
        

        5、細心+用心
        

        一個很小的功能,就可能造成很大的安全漏洞,如果未測試到就進行上線,就可能造成黑客攻擊,所有的用戶帳戶被盜取,或者應用癱瘓。
        

        所謂工欲善其事,必先利其器,這里列出了一些常用的黑盒測試工具
        

        1、掃描工具:
        

        Web Vulnerability Scanner
        

        Ratproxy
        

        2、嗅探工具:
        

        Wireshark
        

        Fiddler2
        

        WebScarab
        

        burpsuite
        

        SPIKEProxy
        

        appsniff
        

        httpwatch
        

        Paros
        

        3、測試工具:
        

        Web2Fuzz
        

        pangolin
        

        sqlmap
        

        Firefox+插件:
        

        —————————————————————————
        

        FileEncrypter HASH轉換
        

        https://addons.mozilla.org/firefox/3208
        

        nftools HASH轉換
        

        http://www.net-force.nl/files/download/nftools/nftools.xpi
        

        Greasemonkey 在網頁內實時插入腳本
        

        https://addons.mozilla.org/firefox/748/
        

        hackbar SQl注入輔助
        

        https://addons.mozilla.org/firefox/3899/
        

        Add n Edit Cookies  編輯COOKIES
        

        https://addons.mozilla.org/firefox/573/
        

        Poster 自定義構造POST的提交 包括文件上傳
        

        https://addons.mozilla.org/fr/firefox/addon/2691
        

        RefControl 編輯REF來源等
        

        https://addons.mozilla.org/firefox/953/
        

        LiveHTTPHeaders方便記錄給次的GET和POST提交并可以relpaly修改HTTP請求包
        

        https://addons.mozilla.org/firefox/3829/
        

        Tamper Data 監視所有的GET和POST提交
        

        https://addons.mozilla.org/firefox/966/
        

        User Agent Switcher 可以偽造User Agent
        

        https://addons.mozilla.org/firefox/59/
        

        View Dependencies 展示頁面所有相關的文件
        

        https://addons.mozilla.org/firefox/2214/
        

        Web Developer 控制打開關閉HTML元素
        

        https://addons.mozilla.org/firefox/60/
        

        Jsview 查看整個頁面的JS
        

        https://addons.mozilla.org/firefox/2076/
        

        FormFox 自動識別提交表單指向的URL
        

        https://addons.mozilla.org/fr/firefox/addon/1579
        

        FireBug 自動查找頁面語法錯誤
        

        https://addons.mozilla.org/firefox/1843/
        

        httpfox  http協議分析器
        

        https://addons.mozilla.org/en-US/firefox/addon/6647
        

        ——————————————————-
        

        總結:
        

        只有對項目中所有的應用接口與功能進行全面測試,并對可能造成的風險進行一一審核,兼備完善的WEB安全技術,同時,由于未來情況下可能會存在新的攻擊方式,并時刻關注業內安全事件,對于新的攻擊手段進行跟蹤學習,應用到安全測試中,才可以達到安全黑盒測試的全面性,保證應用的安全性。
        
            
            
        
            
        
              
        
                  
        延伸閱讀
        
      
        
                      
        
  
        
    

        
    
    
    
        		
    




  
        

        

                  
        
                
        
            
        
            
        

        文章來源于領測軟件測試網 http://www.k11sc111.com/
        











        

        TAG: 
Flash
軟件測試
黑客攻擊
flash

        

        
        
        
        軟件測試論壇
        
  		
        
  		
  		
        
  			
        
  				
        領測軟件測試網最新更新
          				
        
  					
  				
        
  			
        
  			
        
  				
        軟件測試技術相關文章
          				
        
  					
  				
        
  			
        
  		
        
  		
  		
        

  		

        
  		

        

        

        


        


        

        軟件測試培訓信息
        

        


        

        

        



        

        最新軟件測試技術專題
        

        

        

        



        

        最新領測軟件測試網新聞
        

        


        

        


        
    
    
    

        


        

        軟件測試技術文章排行榜
        

          

        • 編輯推薦
          • 

        • 周排行
          • 

        • 月排行
          • 

        




        



        

        軟件測試技術分類最新內容
        


        

        


        
       

        

        

        
 

        

	

        

        
關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
        
版權所有(C) 2003-2010 TestAge(領測軟件測試網)|領測國際科技(北京)有限公司|軟件測試工程師培訓網 All Rights Reserved
        
北京市海淀區中關村南大街9號北京理工科技大廈1402室 京ICP備2023014753號-2
        
技術支持和業務聯系:info@testage.com.cn 電話:010-51297073
        

        

        


        
軟件測試 | 領測國際ISTQBISTQB官網TMMiTMMi認證國際軟件測試工程師認證領測軟件測試網

        


        

        


 








 
        



国产女主播精品_国产片婬乱18一级毛片视频_国产午夜激无码av毛片不卡_国产精品欧美久久久天天影院

          <ruby id="rxdll"></ruby><strike id="rxdll"></strike>
          <rp id="rxdll"></rp>
          

            <del id="rxdll"><meter id="rxdll"></meter></del>
            <pre id="rxdll"><font id="rxdll"></font></pre>
              <pre id="rxdll"></pre>
            <p id="rxdll"><thead id="rxdll"></thead></p><dl id="rxdll"><progress id="rxdll"><form id="rxdll"></form></progress></dl>
            <ol id="rxdll"><thead id="rxdll"><track id="rxdll"></track></thead></ol>
            
<i id="rxdll"><dfn id="rxdll"></dfn></i>
            <font id="rxdll"><meter id="rxdll"></meter></font>
              <mark id="rxdll"><dfn id="rxdll"></dfn></mark>