web安全测试
上一篇 /
下一篇 2014-07-13 14:22:12
/ 个人分类:安全测试
�a3?&g;}6}�g(b3U�q�p�C�`0 什么是安全测试?《web安全测试》一书中这样定义:安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,应用仍然能够充分地满足它的需求。
3s�p$i%` D)h�g0 其实,安全测试说白了就和功能测试一样,是要满足安全需求,但安全需求往往是不明确的,是后知后觉的,但是一旦出现安全问题,其结果是影响巨大的,因此,越来越多的公司开始注重安全方面的测试。
�w:B�l�r�@0 在我们都熟知的功能测试中,也会涉及到安全方面的测试,比如登陆验证机制、会话超时、权限管理等,但安全测试却远不止这些。
8d o4x�B/a051Testing软件测试网2m3k�X `�C7L�D�_�T常见的安全测试漏洞:
1r;V3{�^�t,o0sql注入、xml注入、nosql注入、LDAP注入51Testing软件测试网�a�d�d8Q8q
XSS跨站脚本攻击:反射性、保存型、基于dom51Testing软件测试网�u�a�Z,F�F
CSRF:跨站请求伪造51Testing软件测试网-P�i r7B z�L w
权限控制、访问控制、会话管理、用户名密码暴力破解51Testing软件测试网�s�p X1@�O�u�Z�L�Z%D
文件上传、下载漏洞、DDOS(应用层拒绝服务攻击)
&@�t)v�t�z�|0http请求篡改、cookie劫持、点击劫持等等……
�F j2P�P/w0�t"G7L;u�{3u4@0常用的安全测试工具:
�J�F1l�h0^�y0httpwatch、firebug(firefox)、cygwin(模拟linux)
�f�g#J+f @�X�k8r�X+i0fortify(基于代码)appscan
�z/c�L�]*p�V�b�g�~$N0请求劫持(TamperIE\fiddler)Tamperdata(firefox)51Testing软件测试网�H,O3X0q6_�Q
网站爬行工具(WGET\Teleport、lynx(纯文本网页浏览器)51Testing软件测试网�H�i�k�h�R&d
Burp_Suite(功能比较全包括:代理拦截、爬行、暴力破解、会话分析等)\webSCARAB
�X�N�I�r%]5q'i0命令行工具:CURL、netcat(号称网络入侵的瑞士军刀)
5c%d6t�c�m�d,R0wireshark(网络封包分析)51Testing软件测试网3~3M�M(h�](V
:s&~�n!D�J�y#w0j�I�p�O0
4b�n�Q�?$_�P&z%b�Z0
9q�]9B
w5{'g8v0
收藏
举报
TAG:
