web安全测试
上一篇 /
下一篇 2014-07-13 14:22:12
/ 个人分类:安全测试
a3?&g;}6}g(b3UqpC`0 什么是安全测试?《web安全测试》一书中这样定义:安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,应用仍然能够充分地满足它的需求。
3sp$i%` D)hg0 其实,安全测试说白了就和功能测试一样,是要满足安全需求,但安全需求往往是不明确的,是后知后觉的,但是一旦出现安全问题,其结果是影响巨大的,因此,越来越多的公司开始注重安全方面的测试。
w:Blr@0 在我们都熟知的功能测试中,也会涉及到安全方面的测试,比如登陆验证机制、会话超时、权限管理等,但安全测试却远不止这些。
8d o4xB/a051Testing软件测试网2m3kX `C7LD_T常见的安全测试漏洞:
1r;V3{^t,o0sql注入、xml注入、nosql注入、LDAP注入51Testing软件测试网add8Q8q
XSS跨站脚本攻击:反射性、保存型、基于dom51Testing软件测试网uaZ,F F
CSRF:跨站请求伪造51Testing软件测试网-Pi r7B zL w
权限控制、访问控制、会话管理、用户名密码暴力破解51Testing软件测试网sp X1@OuZLZ%D
文件上传、下载漏洞、DDOS(应用层拒绝服务攻击)
&@t)vtz|0http请求篡改、cookie劫持、点击劫持等等……
F j2PP/w0t"G7L;u{3u4@0常用的安全测试工具:
JF1lh0^y0httpwatch、firebug(firefox)、cygwin(模拟linux)
fg#J+f @Xk8rX+i0fortify(基于代码)appscan
z/cL]*pVbg~$N0请求劫持(TamperIE\fiddler)Tamperdata(firefox)51Testing软件测试网H,O3X0q6_Q
网站爬行工具(WGET\Teleport、lynx(纯文本网页浏览器)51Testing软件测试网HikhR&d
Burp_Suite(功能比较全包括:代理拦截、爬行、暴力破解、会话分析等)\webSCARAB
XNIr%]5q'i0命令行工具:CURL、netcat(号称网络入侵的瑞士军刀)
5c%d6tcm d,R0wireshark(网络封包分析)51Testing软件测试网3~3MM(h](V
:s&~n!DJy#w0jIpO0
4bnQ?$_P&z%bZ0
9q]9B
w5{'g8v0
收藏
举报
TAG: