『软件测试6』bug一两是小事,但安全漏洞是大事!(一)

简介: 前面我们讲过黑白盒测试和性能测试,但是呢,对于一个软件来说,安全测试也是非常重要的。就像封面所示,内容很诱人,一旦用户点击进去,就很容易让其执行非本意的操作,试想下结果……不堪设想。因此,做好软件安全测试,共同营造一个良好的软件环境是至关重要的。在下面的这篇文章中,将讲解关于软件测试中的安全测试。一起来学习吧~

10.png浅谈软件测试中的安全测试



这是我参与更文挑战的第16天

前面我们讲过黑白盒测试和性能测试,但是呢,对于一个软件来说,安全测试也是非常重要的。就像封面所示,内容很诱人,一旦用户点击进去,就很容易让其执行非本意的操作,试想下结果……不堪设想。因此,做好软件安全测试,共同营造一个良好的软件环境是至关重要的。

在下面的这篇文章中,将讲解关于软件测试中的安全测试。一起来学习吧~


一、💿安全测试概念



1、安全测试概述

安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。


2、安全测试与软件生命周期的关系

安全测试贯穿于软件的整个生命周期。如下图所示:

11.png


3、常规测试与安全测试的不同


(1)测试目标不同

普通测试以发现 Bug 为目标;

安全测试以发现安全隐患为目标。

12.png


(2)假设条件不同

普通测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面

安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径

13.png


(3)思考域不同

普通测试以系统所具有的功能为思考域;

安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。

14.png


(4)问题发现模式不同

普通测试以违反功能定义为判断依据;

安全测试以违反权限与能力的约束为判断依据。

15.png


二、🔍安全测试基本原则



1、培养正确的思维方式

安全测试人员要有创造性思维,创造性思维能够帮助我们站在攻击者角度思考各种无法预期的情况,同时能够帮助我们猜测开发人员是如何开发的,如何绕过程序防护逻辑,以某种不安全的行为模式导致程序失效。

16.png


2、尽早测试和经常测试

安全性缺陷和普通 Bug 没什么区别,越早发现修复成本越低,要做到这一点,最开始的就是在软件开发前期对开发和测试团队进行常见安全问题的培训,教会他们学会如何检测并修复安全缺陷。

虽然新兴的第三方库工具以及编程语言能够帮助开发人员设计出更安全的程序,但是新的威胁不断出现,开发人员最好能够意识到新产生的安全漏洞对正在开发的软件的影响,测试人员要转变思维方式,从攻击者角度的各个细节测试应用程序,使软件更加安全。

17.png


3、选择正确的测试工具

很多情况下安全测试需要模拟黑客的行为对软件系统发起攻击,以确保软件系统具备稳固的防御能力。模拟黑客行为就要求安全测试人员擅长使用各种工具,如漏洞扫描工具模拟数据流行为的前后台相关工具数据包抓取工具等。

现在市面上提供了很多安全扫描器或者应用防火墙工具可以自动完成许多日常安全任务,但是这些工具并不是万能的。作为测试人员,我们要准确了解这些工具能做什么,不能做什么是非常重要的,切不可过分夸大或者不当使用测试工具。

18.png


4、尽可能测试源代码

使用源代码扫描工具对软件进行代码扫描,一方面可以找出潜在的风险,从内对软件进行检测,提高代码的安全性;另一方面也可以进一步提高代码的质量。黑盒的渗透测试白盒的源代码扫描内外结合,可以使软件的安全性得到极大程度的提高。

19.png


5、测试结果文档化

测试总结的时候,明智且有效的做法是将测试行动和结果清晰准确地记录在文档中,产生一份测试报告,该报告最好包括漏洞类型问题引起的安全威胁严重程度用于发现问题的测试技术漏洞的修复漏洞风险等。

一份好的测试报告应该帮助开发人员准确定位软件安全漏洞,从而有效进行漏洞修补,使软件更安全可靠。

20.png



三、🔦常见安全漏洞



1、SQL注入


(1)定义

所谓 SQL 注入就是把 SQL 命令人为的输入 URL 、表格域、或者其他动态生成的 SQL 查询语句的输入参数中,最终达到欺骗服务器执行恶意的 SQL 命令。


(2)案例

案例1:

str SQL=“select * from users where (name=‘“+username+”’) and (pw=‘“+password+”’); ”
str SQL=“select * from users where (name=‘1’ or ‘1’=‘1’) and
(pw=‘1’ or ‘1’=‘1’); ”

案例2:

str SQL=“select * from users where (name=‘张三’;DROP TABLE users;--)”
Select *from users where name=‘张三’;
DROP TABLE users


(3)如何防范SQL注入

SQL 注入是风险非常高的安全漏洞,我们可以在应用程序中对用户输入的数据进行合法性检测,包括用户输入数据的类型和长度,同时,对 SQL 语句中的特殊字符(如单引号、双引号、分号等)进行过滤处理。

由于 SQL 注入攻击的 Web 应用程序处于应用层,因此大多防火墙不会进行拦截。除了完善应用代码外,还可以在数据库服务器端进行防御,对数据库服务器进行权限设置,降低 Web 程序连接数据库的权限,撤销不必要的公共许可,使用强大的加密技术保护敏感数据并对被读取走的敏感数据进行审查跟踪等。


2、XSS跨站脚本攻击


(1)XSS命名

XSS 全拼为 Cross Site Scripting ,意为跨站脚本,其缩写原本为 CSS ,但这与 HTML 中的层叠样式表(Cascading Style Sheets)缩写重名了,为了区分就将跨站脚本改为了 XSS


(2)定义

XSS (Cross Site Scripting)是 Web 应用系统最常见的安全漏洞之一,它主要源于 Web 应用程序对用户输入检查和过滤不足。攻击者可以利用 XSS 漏洞把恶意代码注入到网站中,当有用户浏览该网站时,这些恶意代码就会被执行,从而达到攻击的目的。


(3)xss攻击过程

先用一张图来演示XSS的攻击过程:

21.png

XSS攻击过程有以下4个步骤:

  • 攻击者通过邮件或其他方式诱使用户点击包含恶意代码的链接,例如攻击者通过E-mail向用户发送一个包含恶意代码的网站 home.com
  • 用户点击链接后,浏览器会在用户毫不知情的情况下执行链接中包含的恶意代码。
  • 将用户与 home.com 交互的 cookiesession 等信息发送给攻击者。
  • 攻击者拿到这些数据之后,就会伪装成用户与真正的网站进行会话,从事非法活动。


(4)如何防御

对于 XSS 漏洞,最核心的防御措施就是对用户的输入进行检查和过滤,包括 URL 、查询关键字、 HTTP 头、 POST 数据等,仅接受指定长度范围、格式适当、符合预期的内容,对其他不符合预期的内容一律进行过滤。

除此之外,当向 HTML 标签或属性中插入不可信数据时,要对这些数据进行相应的编码处理。将重要的 cookie 标记为 http only ,这样 javascript 脚本就不能访问这个 cookie ,避免了攻击者利用 javascript 脚本获取 cookie


3、CSRF跨站请求伪造攻击


(1)定义

CSRF (Cross-Site Request Forgery)为跨站请求伪造,它是一种针对 Web 应用程序的攻击方式,攻击者利用 CSRF 漏洞伪装成受信任用户的请求,来访问受攻击的网站。


(2)攻击过程

下面用一张图来演示 CSRF 的攻击过程:

22.png


(3)如何攻击

CSRF 攻击中,当用户访问一个信任网站时,在没有退出会话的情况下,攻击者诱使用户点击恶意网站,恶意网站会返回攻击代码,同时要求访问信任网站,这样用户就在不知情的情况下将恶意网站的代码发送到了信任网站。


(4)CSRF和XSS的不同之处

XSS 是盗取用户信息伪装成用户执行恶意活动,而 CSRF 则是通过用户向网站发起攻击。

如果将 XSS 攻击过程比喻为小偷偷取了用户的身份证去办理非法业务,则 CSRF 攻击则是骗子“劫持”了用户,让用户自己去办理非法业务,以达到自己的目的。


(5)如何防范CSRF

CSRF 漏洞产生的原因主要是对用户请求缺少更安全的验证机制,防范 CSRF 漏洞的主要思路就是加强后台对用户及用户请求的验证,而不能仅限于 cookie 的识别。

例如,使用 http 请求头中的 Referer 对网站来源进行身份校验,添加基于当前用户身份的 token 验证,在请求数据提交前,使用验证码填写方式验证用户来源,防止未授权的恶意操作。


(6)Referer

HTTP Referer 是请求头的一部分,代表网页的来源(上一页的地址),当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer ,告诉服务器此次访问是从哪个页面链接过来的,服务器由此可以获得一些信息用于处理。



相关文章
|
8月前
|
测试技术
测试提交的bug开发不认可怎么办?
测试提交的bug开发不认可怎么办?
233 0
|
8月前
|
程序员
面试高频题:开发人员说不是bug,测试如何答复?
面试高频题:开发人员说不是bug,测试如何答复?
137 0
|
2月前
|
人工智能 供应链 安全
AI辅助安全测试案例某电商-供应链平台平台安全漏洞
【11月更文挑战第13天】该案例介绍了一家电商供应链平台如何利用AI技术进行全面的安全测试,包括网络、应用和数据安全层面,发现了多个潜在漏洞,并采取了有效的修复措施,提升了平台的整体安全性。
|
4月前
|
SQL 安全 测试技术
『软件测试6』bug一两是小事,但安全漏洞是大事!
该文章强调了在软件测试中识别与处理安全漏洞的重要性,并详细介绍了常见的安全测试类型、测试流程及使用的主要工具,帮助测试人员有效地检测和防止安全问题。
『软件测试6』bug一两是小事,但安全漏洞是大事!
|
7月前
|
编解码 测试技术 数据库连接
【软件测试】 软件测试生命周期与Bug
【软件测试】 软件测试生命周期与Bug
|
8月前
|
消息中间件 前端开发 关系型数据库
🤔️测试问我:为啥阅读量计数这么简单的功能你都能写出bug?
🤔️测试问我:为啥阅读量计数这么简单的功能你都能写出bug?
|
8月前
|
程序员 测试技术
程序员难以一次性写好代码并持续修复Bug,主要源于软件的高复杂性、需求不确定性、测试局限性和技术能力限制。
【5月更文挑战第11天】程序员难以一次性写好代码并持续修复Bug,主要源于软件的高复杂性、需求不确定性、测试局限性和技术能力限制。复杂的系统易产生意外问题,需求变化导致初始设计难完备,测试无法覆盖所有情况,而技术更新和个体能力差异也会引入错误。因此,持续调试和优化是保证软件质量的关键步骤。
77 0
|
人工智能 测试技术 程序员
软件测试/人工智能|使用ChatGPT帮我们查找bug
软件测试/人工智能|使用ChatGPT帮我们查找bug
|
人工智能 测试技术 开发者
软件测试/人工智能|如何利用人工智能来帮助我们找bug
软件测试/人工智能|如何利用人工智能来帮助我们找bug
软件测试/人工智能|如何利用人工智能来帮助我们找bug
|
8月前
|
SQL 前端开发 测试技术
软件测试/测试开发|如何定位bug,一篇文章告诉你
软件测试/测试开发|如何定位bug,一篇文章告诉你

热门文章

最新文章