Web安全性测试包括哪些要点?梳理下,总算搞明白了

简介: Web安全性测试包括哪些要点?梳理下,总算搞明白了

大家好,本章节主要与大家分享一下关于Web测试之安全性测试相关知识点。


说起安全性测试,大家肯定非常熟悉,无论怎么样关于系统的安全性的信息随处可见。

640.jpg

案例分析:

例如:媒体报名、网络新闻、或者电影中呈现或者某个黑客攻击了一个系统后出现一些什么漏洞,或者相关的电商网站由于系统漏洞导致用户数据的流失,用户数据的修改等等相关安全性的操作,又或者某个黑客因为对某些公司的不满直接将公司官网首页改变成另一个连接地址这些案例都属于安全性测试范畴内的相关知识点。

640.jpg

可能某些电影场景中报告的安全性知识不一定是真实的,但是相关媒体报道网络受到攻击或者导致用户数据丢失、或者服务器攻击最终导致服务器崩溃这些都是安全性测试中实实在在存在的现象。

安全性测试的任务就是利用安全性测试技术,在产品未被正式发布之前,查找安全性测试的bug,发现安全性漏洞需要对安全性漏洞进行修复,避免漏洞被非常用户进行攻击,这样对服务器或者数据与钱相关的金融数据带来安全隐患,安全性测试的目的就是去发现这些安全性的问题,从而修复安全性测试的漏洞,让用户使用我们的系统更放心更安全。

640.jpg

但是往往安全性漏洞往往不容易发现,也不可能完全发现因为我们的黑客攻击技术过于复杂,无论我们怎么样避免一定要为用户提供服务,一定要开放一些端口需要给用户提供一些输入的界面,非常用户可以通过输入的方式打开80端口扫描的方式或者通过URL地址的参数方式进行SQL注入都有可能给我们的系统注入一些非常的代码。

我们要实施安全性测试的目的是,尽最大努力快速发现系统中安全性测试的漏洞与隐患,然后修改漏洞。

640.jpg

一般程序员在开发一个系统或者写一段代码的时候不知不觉就埋下了一个漏洞,一般程序员不会这么做,但是有时候不小心放置的漏洞只有自己知道,站在测试角度来分析问题就很难发现这些问题。

安全性测试的目的是尽可能地把网络架构层面的有意无意的问题查找出来,对于web系统来说是一个标准的网络协议结构,它是以浏览器为载体的,浏览器相关的安全性漏洞我们需要去发现,网页是用来与用户进行交互的,负面的操作是通过JavaScripts来执行脚本的会绕过界面向服务器发送数据都会存在安全性隐患。

640.jpg

我们在学习安全性测试之前需要具备一定的网络协议、性能测试、接口测试都是基于网络协议而开展,如果我们仅对前端JS进行过滤没有对服务端进行过滤,如果绕开前端直接给服务器发送数据包这时候过滤不会生效,除了服务器也进行了过滤。

例如:给你一个文本框只允许输入数字,JS在浏览器进行了限制,但是服务器端接口未进行限制,这时候用户可以直接绕过前端直接向服务器端发送数据,这样也会存在安全性bug.

640.jpg

安全性测试知识点分类:

认证与授权

例如:用户登录认证的操作,用户登录后的角色所授予的权限,从技术层面没有特别之处,需要登录用户进行登录,程序员在编写程序时一定要意识到安全性的漏洞问题。

Session与Cookie

Session是保存在服务器端的一些文件通过SessionID来保存文件,一般安全性较高问题不大,可以直接对服务器的数据进行读取。

Cookie是保存在客户端的,如果Cookie信息被用户获取到,就会被人利用漏洞对系统进行攻击。

640.jpg

DDOS拒绝服务攻击

不断地向服务器发送请求的情况,占用服务器的连接资源,让服务器的资源消耗完成,无论向服务器正常提供服务的情况叫做DDOS拒绝攻击,这种情况一般比较难防范,一般发送的请求都是正常的,服务器并不知道是DDOS攻击的情况,如果某些资源达到瓶颈系统就会导致瘫痪。

文件上传漏洞

一般用户端向服务器端提交文件时,如果用户传递了一个可执行的文件脚本是一个木马,这样就可以达到攻击服务器的目的。

640.jpg

XSS跨站攻击漏洞

XSS攻击一般对服务器没有影响,对用户会产生影响,例如:网页上存放某个脚本,其它用户操作网站的内容就不小心点击到了对服务器没有影响,通过跨站攻击就可以获取SessionID对网站进行非法操作就是Cookie欺骗。

还有一种情况就是用户模拟了一个钓鱼网站,让我们错误认识是自己的网站,输入一些与钱相关的敏感信息,获取用户的相关数据,容易入侵,从而导致一系列安全隐患问题。

640.jpg

SQL注入

可能通过任何可以输入的地方都能达到SQL注入的目的。

例如:登录框、文件输入框等相关功能都是一种普遍的攻击方式。

暴力破解

我们在不知道用户名与密码的情况下,不停的测试,如果用户名与密码能够猜测成功就能够正常的破解系统达到攻击的方式,这种方式就叫做暴力破解,平时的火车票网站也是属于这种类型的攻击。

640.jpg

总结:今天主要与大家分享相关安全性测试的相关概念及应用场景,根据不同的情景安全性测试漏洞攻击的方式主要包括以上七点,后期针对这七点进行详细阐述,今天的分享就到此结束,下期敬请期待。

相关文章
|
21天前
|
前端开发 机器人 测试技术
【RF案例】Web自动化测试弹窗处理
在进行Web自动化测试时,常会遇到不同类型的弹窗,如ajax、iframe、新窗口及alert/Confirm等。这些弹窗可通过Selenium进行定位与处理。其中,ajax弹窗直接定位处理;iframe需先选中再操作;新窗口类似iframe处理;而alert/Confirm则需特殊方法应对。在Robot Framework中,需先定义并获取窗口后使用特定关键字处理。此外,还有部分div弹窗需在消失前快速定位。希望本文能帮助大家更好地处理各类弹窗。
23 6
【RF案例】Web自动化测试弹窗处理
|
2月前
|
测试技术
基于LangChain手工测试用例转Web自动化测试生成工具
该方案探索了利用大模型自动生成Web自动化测试用例的方法,替代传统的手动编写或录制方式。通过清晰定义功能测试步骤,结合LangChain的Agent和工具包,实现了从功能测试到自动化测试的转换,极大提升了效率。不仅减少了人工干预,还提高了测试用例的可维护性和实用性。
44 4
|
2月前
|
Web App开发 测试技术 API
自动化测试之美:使用Selenium和Python进行Web应用测试
【8月更文挑战第31天】在软件开发的快节奏世界中,自动化测试如同一束明灯,照亮了质量保证之路。本文将引导你通过Selenium和Python的强大组合,探索如何构建高效的Web应用测试框架。我们不仅会讨论理论,还会深入代码,从一个简单的示例开始,逐步扩展至更复杂的场景。无论你是初学者还是有经验的开发者,这篇文章都将为你提供宝贵的见解和实用的技巧。让我们一同揭开自动化测试的神秘面纱,体验它的魅力所在。
|
19天前
|
jenkins 测试技术 持续交付
自动化测试的高效之路:如何利用Python进行Web应用测试
【9月更文挑战第13天】在软件开发的快节奏中,自动化测试是确保质量和效率的关键。本文将引导你了解如何使用Python语言及其强大的测试框架来提升Web应用的测试效率。我们将一起探索编写简洁而强大的测试脚本的技巧,以及如何通过持续集成(CI)实现自动化测试流程。准备好让你的测试工作飞一般的感觉!
|
2月前
|
XML JavaScript 测试技术
Web自动化测试框架(基础篇)--HTML页面元素和DOM对象
本文为Web自动化测试入门指南,介绍了HTML页面元素和DOM对象的基础知识,以及如何使用Python中的Selenium WebDriver进行元素定位、操作和等待机制,旨在帮助初学者理解Web自动化测试中的关键概念和操作技巧。
40 1
|
2月前
|
Web App开发 测试技术 API
Web自动化测试框架(基础篇)--Selenium WebDriver工作原理和环境搭建
本文详细介绍了Selenium WebDriver的工作原理,包括其架构、通信机制及支持的浏览器,并指导读者如何在Python环境下搭建Selenium WebDriver的测试环境,从安装Python和Selenium库到编写并运行第一个自动化测试脚本。
146 0
|
2月前
|
JavaScript 前端开发 应用服务中间件
【qkl】JavaScript连接web3钱包,实现测试网络中的 Sepolia ETH余额查询、转账功能
【区块链】JavaScript连接web3钱包,实现测试网络中的 Sepolia ETH余额查询、转账功能
|
3月前
|
Web App开发 JavaScript 前端开发
自动化测试的新篇章:使用Selenium和Python进行Web应用测试
【7月更文挑战第31天】在软件开发生命周期中,测试环节是确保产品质量的关键步骤。随着技术的发展,自动化测试已成为提升效率、减少人为错误的重要手段。本文将通过实例介绍如何结合Selenium WebDriver和Python语言,构建一个基本的自动化测试框架,旨在帮助读者理解并实现自动化测试脚本,从而提高软件测试的效率和质量。
34 0
|
3月前
|
Web App开发 敏捷开发 Java
自动化测试的利器:使用Selenium进行Web应用测试
【7月更文挑战第31天】在软件开发过程中,测试环节扮演着至关重要的角色。随着敏捷开发和持续集成的普及,自动化测试变得越发重要。Selenium作为一种流行的开源自动化测试工具,能够模拟用户操作以验证Web应用程序的功能和性能。本文将介绍Selenium的基本概念、安装步骤以及一个简单的代码示例,帮助读者快速入门并实现基本的Web应用自动化测试。
24 0
|
4月前
|
运维 Java 测试技术
Spring运维之boo项目表现层测试加载测试的专用配置属性以及在JUnit中启动web服务器发送虚拟请求
Spring运维之boo项目表现层测试加载测试的专用配置属性以及在JUnit中启动web服务器发送虚拟请求
40 3
下一篇
无影云桌面