📝 安全测试教程

26篇技术文档
  安全测试教程

📅  最后修改于: 2020-12-04 05:15:53        🧑  作者: Mango

执行安全测试以揭示系统中的安全漏洞,以保护数据和维护功能。本教程通过简单实用的示例说明了安全测试的核心概念和相关主题。本教程已为初学者准备,以帮助他们了解安全测试的基础。先决条件在继续本教程之前,您应该对软件测试及其相关概念有基本的了解。...

  安全测试-概述

📅  最后修改于: 2020-12-04 05:16:10        🧑  作者: Mango

安全测试对于保护系统免受Web上的恶意活动的侵害非常重要。什么是安全测试?安全测试是一种测试技术,用于确定信息系统是否按预期保护数据并维护功能。安全测试不能保证系统的完整安全性,但是将安全测试作为测试过程的一部分包括在内很重要。安全测试采取以下六项措施来提供安全的环境-保密-它可以防止信息泄露给非预期的接收者。完整性-它允许将准确正确的所需信息从发送方传输到预期的接收方。身份验证-验证并确认用户身...

  安全测试-流程

📅  最后修改于: 2020-12-04 05:16:25        🧑  作者: Mango

安全测试可以被视为对系统的受控攻击,它以一种现实的方式发现了安全缺陷。其目标是评估IT系统的当前状态。它也被称为渗透测试,或更普遍地称为道德黑客。渗透测试是分阶段进行的,在本章中,我们将讨论完整的过程。在每个阶段都应进行适当的文档记录,以便易于获得重现攻击所需的所有步骤。该文档还可以作为客户在渗透测试结束时收到的详细报告的基础。渗透测试–工作流程渗透测试包括四个主要阶段-脚印扫描枚举开发这四个步骤...

  安全测试-恶意软件

📅  最后修改于: 2020-12-04 05:16:47        🧑  作者: Mango

恶意软件(malware)是指使攻击者/恶意软件创建者部分或完全控制系统的任何软件。恶意软件下面列出了各种形式的恶意软件-病毒-病毒是一种程序,其创建其自身的副本并将这些副本插入其他计算机程序,数据文件或硬盘的引导扇区中。成功复制后,病毒会在受感染的主机上造成有害活动,例如窃取硬盘空间或CPU时间。蠕虫-蠕虫是一种恶意软件,它会将自己的副本留在其路径中的每台计算机的内存中。Trojan-Troja...

  安全测试-编码和解码

📅  最后修改于: 2020-12-04 05:17:16        🧑  作者: Mango

什么是编码和解码?编码是将一系列字符(例如字母,数字和其他特殊字符)放入一种特殊格式以进行有效传输的过程。解码是将编码格式转换回原始字符序列的过程。它与我们通常会误解的加密完全不同。编码和解码用于数据通信和存储。编码不得用于传输敏感信息。URL编码网址只能使用ASCII字符集可以通过互联网发送的,有这样的情况URL中包含特殊字符除了ASCII字符,它需要被编码。 URL不包含空格,并用加号(+)或...

  安全测试-密码学

📅  最后修改于: 2020-12-04 05:17:36        🧑  作者: Mango

什么是密码学?密码术是对数据进行加密和解密的科学,该技术使用户能够存储敏感信息或在不安全的网络上传输敏感信息,以便只有预期的接收者才能读取它。无需任何特殊措施即可读取和理解的数据称为明文,而掩盖明文以隐藏其实质的方法称为加密。加密的纯文本称为密文,而将加密的数据还原为纯文本的过程称为解密。分析和破坏安全通信的科学称为密码分析。执行相同操作的人也称为攻击者。密码学可以强也可以弱,其强度取决于恢复实际...

  安全测试-同源策略

📅  最后修改于: 2020-12-04 05:17:54        🧑  作者: Mango

相同来源策略(SOP)是Web应用程序安全模型中的重要概念。什么是同一原产地政策?根据此政策,它允许脚本在源自同一站点的页面上运行,这些脚本可以是以下各项的组合-域协议港口例此行为背后的原因是安全性。如果您在一个窗口中有try.com,在另一个窗口中有gmail.com,则您不希望try.com中的脚本访问或修改gmail.com的内容或代表您在gmail上下文中运行操作。以下是来自同一来源的网页...

  安全测试-Cookies

📅  最后修改于: 2020-12-04 05:18:19        🧑  作者: Mango

什么是Cookie?Cookie是Web服务器发送的一小段信息,存储在Web浏览器中,以便以后可以被浏览器读取。这样,浏览器便会记住一些特定的个人信息。如果黑客掌握了cookie信息,则可能导致安全问题。Cookies的属性这是cookie的一些重要属性-它们通常是小的文本文件,具有存储在您计算机浏览器目录中的ID标签。Web开发人员使用它们来帮助用户有效地浏览其网站并执行某些功能。当用户再次浏览...

  安全测试-入侵Web应用程序

📅  最后修改于: 2020-12-04 05:18:46        🧑  作者: Mango

我们可以使用各种方法/方法作为进行攻击的参考。Web应用程序-PenTesting方法论在开发攻击模型时,可以考虑以下标准。在以下列表中,OWASP是最活跃的,并且有很多参与者。我们将专注于OWASP技术,每个开发团队在设计Web应用程序之前都要考虑这些技术。PTES-渗透测试执行标准OSSTMM-开源安全测试方法手册OWASP测试技术-开放式Web应用程序安全协议OWASP前十名开放Web应用程...

  安全测试-注入

📅  最后修改于: 2020-12-04 05:19:05        🧑  作者: Mango

注入技术包括使用应用程序的输入字段注入SQL查询或命令。Web应用程序-注入成功的SQL注入可以读取,修改数据库中的敏感数据,还可以删除数据库中的数据。它还使黑客能够对数据库执行管理操作,例如关闭DBMS /删除数据库。让我们借助简单的图表了解此漏洞的威胁代理,攻击媒介,安全漏洞,技术影响和业务影响。例子该应用程序在以下易受攻击的SQL调用的构造中使用不受信任的数据-动手步骤1-导航到应用程序的S...

  测试断开的身份验证

📅  最后修改于: 2020-12-04 05:19:30        🧑  作者: Mango

当与应用程序相关的身份验证功能未正确实现时,它使黑客能够利用密码或会话ID泄露或使用其他用户凭据来利用其他实现缺陷。让我们借助简单的图表了解此漏洞的威胁代理,攻击媒介,安全漏洞,技术影响和业务影响。例该网站的经过身份验证的用户会将URL转发给他们的朋友,以了解打折销售。他通过电子邮件发送以上链接,却不知道用户也正在放弃会话ID。当他的朋友使用链接时,他们将使用他的会话和信用卡。动手步骤1-登录到W...

  测试跨站点脚本

📅  最后修改于: 2020-12-04 05:19:56        🧑  作者: Mango

每当应用程序获取不受信任的数据并将其未经验证发送到客户端(浏览器)时,就会发生跨站点脚本(XSS)。这使攻击者能够在受害者的浏览器中执行恶意脚本,这可能导致用户会话被劫持,破坏网站或将用户重定向到恶意网站。让我们借助简单的图表了解此漏洞的威胁代理,攻击媒介,安全漏洞,技术影响和业务影响。XSS的类型存储的XSS-当用户输入存储在目标服务器(例如数据库/消息论坛/评论字段等)上时,就会发生存储的XS...

  不安全的直接对象引用

📅  最后修改于: 2020-12-04 05:20:17        🧑  作者: Mango

当开发人员公开对内部实现对象(例如文件,目录或数据库密钥)的引用而没有允许攻击者操纵这些引用以访问未授权数据的任何验证机制时,可能会发生直接对象引用。让我们借助简单的图表了解此漏洞的威胁代理,攻击媒介,安全漏洞,技术影响和业务影响。例该应用程序在访问帐户信息的SQL调用中使用未经验证的数据。攻击者在其浏览器中修改查询参数以指向Admin。动手步骤1-登录到Webgoat并导航到访问控制缺陷部分。目...

  安全性配置错误

📅  最后修改于: 2020-12-04 05:20:37        🧑  作者: Mango

当安全性设置被定义,实施和维护为默认值时,就会出现安全性配置错误。良好的安全性要求为应用程序,Web服务器,数据库服务器和平台定义和部署安全配置。拥有最新的软件同样重要。例安全配置错误的一些经典示例如下-如果未在服务器上禁用目录列表,并且如果攻击者发现了目录列表,则攻击者可以简单地列出目录以查找任何文件并执行该文件。也有可能获得包含所有自定义代码的实际代码库,然后在应用程序中发现严重的缺陷。应用服...

  安全测试-敏感数据公开

📅  最后修改于: 2020-12-04 05:20:58        🧑  作者: Mango

由于在线应用程序每天都在泛滥,因此并非所有应用程序都受到保护。许多Web应用程序不能正确保护敏感的用户数据,例如信用卡信息/银行帐户信息/身份验证凭据。黑客最终可能会窃取那些保护不力的数据,以进行信用卡欺诈,身份盗窃或其他犯罪。让我们借助简单的图表了解此漏洞的威胁代理,攻击媒介,安全漏洞,技术影响和业务影响。例安全配置错误的一些经典示例如下-站点根本不会对所有经过身份验证的页面使用SSL。这使攻击...