软件评测师笔记(十)—— 安全测试相关

本文涉及的产品
云防火墙,500元 1000GB
日志服务 SLS,月写入数据量 50GB 1个月
简介: 软件评测师笔记(十)—— 安全测试相关

常见安全攻击手段


1、冒充:一个实体假装成一个不同的实体,常和消息篡改和重演一起使用

2、重演:当消息为了产生非授权效果而被重复时,就出现重演了

3、消息篡改:数据所传送的内容被改变而未被发觉,并导致非授权后果

4、服务拒绝:通过向认证/授权服务发送大量虚假请求,占用系统带宽造成关键服务繁忙,使得授权服务不能正常执行,产生服务拒绝

 

安全性测试方法(安全防护策略)


1、功能验证

2、侦听技术

3、模拟攻击试验

4、漏洞扫描:对软件系统和网络系统进行安全监测,以找出有安全隐患的漏洞

5、安全日志:记录非法用户的相关操作和信息

6、入侵检测:从系统内部和各种网络资源中主动采集信息,从中分析可能得网络入侵或攻击

7、隔离防护:将系统中的安全部分和非安全部分进行隔离,防火墙主要用于内网和外网的逻辑隔离

 

WEB应用的安全性测试


可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核、日志记录多个方面进行

 

关于SSL的的WEB应用安全性测试用例


1、SQL测试用例,账号输入name'--

2、https://替换成http://

3、内容访问,访问有文件的链接

4、内部URL拷贝:将登录后的URL拷贝出来,重启浏览器粘贴URL

 

防火墙测试点


1、是否支持交换和路由两种工作模式

2、是否支持对HTTP、FTP、SMTP等服务类型的访问控制

3、是否考虑到防火墙的冗余设计

4、是否支持对日志的统计分析功能,同时,日志是否可以存储在本地和网络数据库上

5、防火墙受攻击后,是否有告警方式

 

入侵检测系统


1、能否在检测到入侵事件时,自动执行切断服务,记录入侵行为

2、是否支持收集攻击信息

3、是否提供监视方式

 

对用户权限控制的测试


1、对用户权限控制体系合理性

  • 是否采用分离管理模式
  • 是否具有唯一性、口令的强度、存储位置、加密强度

2、对用户权限分配合理性

  • 权限分配的细致程度
  • 特定权限用户访问系统功能的能力测试

 

网页篡改途径


1、通过操作系统、网路服务、数据库漏洞

2、通过猜测/破解管理员密码

3、通过WEB漏洞或设计缺陷

 

防篡改系统的基本功能


1、自动监测

2、自动备份与恢复

3、自动报警

 

如何防篡改


1、修复漏洞

2、封闭未使用端口

3、设计安全性高的代码

4、设置强密码

5、安装防火墙

6、设置访问权限

相关文章
|
5月前
|
人工智能 安全 网络安全
Burp Suite Professional 2025.5 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件
Burp Suite Professional 2025.5 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件
184 3
|
5月前
|
安全 测试技术 Linux
Flawnter 5.9.1 (macOS, Linux, Windows) - 应用程序安全测试软件
Flawnter 5.9.1 (macOS, Linux, Windows) - 应用程序安全测试软件
148 2
Flawnter 5.9.1 (macOS, Linux, Windows) - 应用程序安全测试软件
|
5月前
|
人工智能 安全 网络安全
Burp Suite Professional 2025.5 for Windows x64 - 领先的 Web 渗透测试软件
Burp Suite Professional 2025.5 for Windows x64 - 领先的 Web 渗透测试软件
236 4
Burp Suite Professional 2025.5 for Windows x64 - 领先的 Web 渗透测试软件
|
4月前
|
测试技术
软考软件测评师大题——案例分析之白盒测试
历年下午案例试题一固定考察白盒测试,主要包含三大核心问题:推导逻辑条件、绘制控制流图及计算环路复杂度、确定线性无关路径集合。内容涵盖覆盖层级标准(语句、分支、判定、条件覆盖等)、控制流图构建规范(顺序、分支、循环结构转换原则)、环路复杂度计算公式以及线性无关路径生成方法。通过典型题型示例解析,如代码路径分析与验证指标,帮助考生掌握解题思路和技巧。
|
4月前
|
测试技术
软考软件评测师——可靠性测试测试方法
软件可靠性是指软件在规定条件和时间内完成预定功能的能力,受运行环境、软件规模、内部结构、开发方法及可靠性投入等因素影响。失效概率指软件运行中出现失效的可能性,可靠度为不发生失效的概率,平均无失效时间(MTTF)体现软件可靠程度。案例分析显示,嵌入式软件需满足高可靠性要求,如机载软件的可靠度需达99.99%以上,通过定量指标评估其是否达标。
|
4月前
|
安全 测试技术 持续交付
软考软件评测师——基于风险的测试技术
本文详细阐述了测试计划的核心要素与制定流程,涵盖测试范围界定、实施策略规划、资源配置及风险管理机制。通过风险识别方法论和评估模型,构建了完整的质量保障体系。同时,针对不同测试级别与类型提供具体配置建议,并提出技术选型原则与实施规范,确保测试活动高效有序开展,为项目成功奠定基础。内容结合实际经验,具有较强指导意义。
|
11月前
|
测试技术 开发者 Python
自动化测试之美:从零构建你的软件质量防线
【10月更文挑战第34天】在数字化时代的浪潮中,软件成为我们生活和工作不可或缺的一部分。然而,随着软件复杂性的增加,如何保证其质量和稳定性成为开发者面临的一大挑战。自动化测试,作为现代软件开发过程中的关键实践,不仅提高了测试效率,还确保了软件产品的质量。本文将深入浅出地介绍自动化测试的概念、重要性以及实施步骤,带领读者从零基础开始,一步步构建起属于自己的软件质量防线。通过具体实例,我们将探索如何有效地设计和执行自动化测试脚本,最终实现软件开发流程的优化和产品质量的提升。无论你是软件开发新手,还是希望提高项目质量的资深开发者,这篇文章都将为你提供宝贵的指导和启示。
|
8月前
|
存储 数据可视化 测试技术
一个测试工程师的实战笔记:我是如何在Postman和Apipost之间做出选择的?
优秀的API测试工具应该具备: 分层设计:既有可视化操作,也开放代码层深度定制 场景感知:自动识别加密需求推荐处理方案 协议包容:不强迫开发者为了不同协议切换工具 数据主权:允许自主选择数据存储位置
205 7
|
11月前
|
测试技术 持续交付
探索自动化测试在软件质量保证中的关键作用
本文深入探讨了自动化测试在现代软件开发生命周期中的重要性,以及它是如何成为确保软件产品质量的不可或缺的一环。通过分析自动化测试的优势、挑战和最佳实践,本文旨在为读者提供对自动化测试全面而深刻的理解,从而帮助他们在实际工作中更有效地应用自动化测试策略。
114 2

热门文章

最新文章