第三篇 安全测试
在新业务开始的时候,功能测试会显得更重要一点,但对于安全测试的疏忽,可能会导致安全问题频发。而安全问题主要体现在越权和信息泄露两个方面。
造成敏感信息泄露的主要原因是API很容易出现问题,具体主要体现在以下几个方面。
- 返回的很多敏感信息未进行加密处理。
- 返回了一部分不需要用到的敏感数据。
- 因接口未进行权限校验,从而导致信息越权泄露。
针对以上情况,解决方法是整理现有的API,进行全面扫描,彻底消除现有接口的安全问题。
但对于众多接口,想要从中找到安全问题,犹如大海捞针,为此,我们必须确认接口的优先级。
- 对外提供的接口优先级远大于对内提供的接口
- 核心数据接口优先级远大于非核心业务接口
工欲善其事,必先利其器,在梳理好业务优先级之后,我们就需要引入合适的安全工具去测试接口。
那么仅仅靠着事后补救是绝对不行的,同时也要构建安全测试常态化,把安全测试下沉到QA。
最后,更重要的是研发人员和测试人员的安全意识,要及时和安全团队沟通,着重思考项目中可能出现的安全问题。
扫一扫
1118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
