面试高频题:安全测试如何做?

简介: 大家好,我是阿萨。安全测试作为一项专项测试,越来越重要。如果面试官问安全测试怎么做?,你会怎么回答?

问:安全测试如何做


解题思路:


安全测试是一个很大的话题。要回答好这个问题,其实一点都不简单。如何在面试的过程中能言简意赅地回答出面试官想要的答案其实也很难。


如果对面试公司背景不了解的时候,怎么回答好这个问题呢?


参考答案:


概括性解答安全相关概念,测试流程,以及常见测试规范和测试工具。


1.安全三要素:


安全三要素CIA:Confidentiality (机密性), Integrity (完整性), 和 Availability (可用性)。


安全定义:

资产(Assets)、风险(Risk),威胁(Threats),脆弱性(Vulnerabilities),暴露(Exposure)。


要确定信息三要素面临哪些威胁,就需要先知道风险由什么构成。它们之间的关系,可以用下面的例子解释:公司的资产(Assets)会受到各种威胁(Threats)影响,这些威胁可能是黑客等人为因素,也可能是火灾地震等自然因素。威胁通过利用系统的脆弱性(Vulnerabilities)可导致暴露(Exposure),这就是风险(Risk)。对策是使用防护措施(Safeguards),缓解风险使资产得到安全保障。


2,威胁建模:


威胁建模是一种分析应用程序安全性的结构化方法,可以用来识别、量化和降低应用程序安全风险。威胁建模由微软2000年左右提出,作为SDL的核心模块且可实践的应用安全设计分析方法,主要管理流程包含如下:


33e525dda9c14bb89fa7b4304e5a9e03_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.jpg


3.Stride 结构化建模方法:


STRIDE威胁建模将威胁类型分为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄漏)、Denial of Service(拒绝服务)和 Elevation of Privilege(权限提升),共6个维度,几乎可以涵盖目前绝大部分安全问题。


3104d65bf0b24783bba9767a56ce07be_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.jpg


4. 通过STRIDE方法 先画出数据流图,识别威胁,缓解威胁,安全验证的流程去做安全测试。其中数据流图和业务场景的数据流图非常关键,是分析安全威胁的基础。


6ca3268816dd4e3b8171cb323df9157f_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.jpg


5.安全测试规范:OWASP。


6.常见安全测试工具:nmap,APPScan,AWVS,burpsuite,nessus,testssl,zap等。


面试时因为时间有限,只能概括性总结相关内容。


7,Top10安全问题最好也要非常熟悉。

相关文章
|
7月前
|
Web App开发 编解码 前端开发
面试题22:如何测试Web浏览器的兼容性?
面试题22:如何测试Web浏览器的兼容性?
179 3
|
7月前
|
测试技术
面试题3: 描述测试用例设计的完整过程
面试题3: 描述测试用例设计的完整过程
|
7月前
|
程序员
面试高频题:开发人员说不是bug,测试如何答复?
面试高频题:开发人员说不是bug,测试如何答复?
128 0
|
2月前
|
NoSQL 测试技术 Redis
第一次面试总结 - 迈瑞医疗 - 软件测试
本文是作者对迈瑞医疗软件测试岗位的第一次面试总结,面试结果非常好,但面试过程中没有提问太多技术性问题,主要围绕个人介绍、互相了解、个人规划和项目亮点进行,因此作者认为这次面经的学习意义不大。作者还提到了实习岗位的待遇和工作内容,以及对不同阶段求职者的建议。
56 2
|
4月前
|
SQL 安全 测试技术
[go 面试] 接口测试的方法与技巧
[go 面试] 接口测试的方法与技巧
|
5月前
|
IDE Java 测试技术
Java面试题:什么是Java中的单元测试以及如何编写单元测试?
Java面试题:什么是Java中的单元测试以及如何编写单元测试?
198 1
|
5月前
|
IDE Java 测试技术
Java面试题:描述在Java中使用JUnit进行单元测试的过程
Java面试题:描述在Java中使用JUnit进行单元测试的过程
56 0
|
7月前
|
数据采集 JSON 数据格式
2024年最新【python基础教程】常用内置模块(1),2024年最新头条测试面试
2024年最新【python基础教程】常用内置模块(1),2024年最新头条测试面试
|
7月前
|
存储 安全 测试技术
面试题11: 如何测试一个APP?
面试题11: 如何测试一个APP?
面试题11: 如何测试一个APP?
|
7月前
|
SQL Web App开发 存储
面试题5: 如何编写提交给用户的测试报告?
面试题5: 如何编写提交给用户的测试报告?
面试题5: 如何编写提交给用户的测试报告?

热门文章

最新文章