PMP ,专注于WEB功能测试、性能测试、安全测试的研究,从事全面质量管理工作。曾任多家公司测试经理、测试主管。在电子政务、银行、电商、跨境电商、直播电商领域工作多年,曾获得某龙头集团公司公测一等奖,曾任职某头部直播电商公司测试团队负责人,具有业务敏感性,擅长从0到1搭建测试团队,具有海外工作经历,以及质量管理体系搭建。邮箱:89233502@qq.com
安全评测内容和常见工具
上一篇 /
下一篇 2013-09-23 19:50:24
/ 个人分类:安全测试
一、安全评测内容
(1) 网络平台测试
包括:访问控制设备、网络连接
包括:身份鉴别、权限管理、运行审计
(3) 主机系统测试
(4) 系统运行测试
包括:病毒防范、防火墙、应急响应机制、备份与恢复
2)服务器操作系统安全测试
扫描WEB应用服务器操作系统、数据库服务器操作系统的漏洞,另外扫描与系统相关的端口、网络、应用服务中间件软件的漏洞。
3)应用系统安全测试
用测试工具扫描WEB应用的弱漏洞,弱漏洞包括:SQL盲注、跨站脚本、网页木马等16种紧急漏洞,链接注入、CRLF注入等9种高危漏洞,源代码泄露、跨站伪造用户请求、弱密码等13种中危漏洞,Web应用程序错误、数据库错误、表单隐藏域等19种低危漏洞,内网IP、连接数据库文件名称泄露等20种信息泄露漏洞。 4)数据库管理系统安全测试
主要扫描数据库管理系统的漏洞,数据库管理系统类型包括:Oracle、SQL Server、Mysql、IBM DB2、Sybase。
二、安全扫描工具
1) WebScan V5.1.3
(1)深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具;
(2)采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务。
2) 绿盟RSAS V5.0远程安全评估系统
(1)自动、高效、及时准确地发现网络资产存在的安全漏洞;
(2)针对网络资产的安全漏洞进行详细分析,采用权威的风险评估模型量化风险,提供专业的解决方案;
(3)集成专业的Web应用扫描模块,可以自动化进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞检测;
(4)融合Open VM(Open Vulnerability Management)开放漏洞管理工作流程,提供真正有效的漏洞管理解决方案;为降低企业的安全风险提供强有力的保障。
3) HP QAinspect V5.0
(1)自动安全探测:发现和对安全缺陷优先级分类;
(2)内置的安全专家:结合每天的更新,提供漏洞检查的智能引擎;
(3)全面的缺陷报告:为每个漏洞提供详细的信息和修补建议;
(4)法规遵从支持:为超过20个法律法规和最佳实践提供报告。
4)HP Webinspect V5.0
(1)在生产环境下发现安全缺陷;
(2)详细的报告和法规遵从分析;
(3)为高级测试人员提供渗透和挖掘工具;
(4)和HP Application Management Platform集成,提供管理和报告。
收藏
举报
TAG:
