安全测试之防御思考

最新推荐文章于 2020-08-18 18:48:18 发布
最新推荐文章于 2020-08-18 18:48:18 发布
阅读量227 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全测试专题 文章标签: 安全测试 防御策略 原理思考 防御思考 防御原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_37998428/article/details/81870310

1,简短说明

前台请求,后台返回

1,请求

第一步:请求的真实性(不可伪造,不可抵赖)
是否被篡改(如:XSS攻击)【签名,前台数字签名,后台验签】
是否部分伪造(如:CSRF攻击)【签名,前台数字签名,后台验签】
是否完全伪造(如:重放攻击)【验证码机制,验证码只用一次,用后失效,过期失效】

验证码机制,只能减弱重放攻击,不能完全避免

第二步:请求携带的内容(请求是真实的,没有被处理的)
内容包含敏感字符(XSS攻击,SQL注入等)【过滤机制,过滤敏感字符】

2,常见攻击

XSS攻击(跨站点脚本编制)
CSRF攻击(跨站点请求伪造)
RA攻击(重放攻击)

2,参考链接

https://blog.youkuaiyun.com/qmickecs/article/details/73696954

软件测试之安全测试
Vegetable的博客
09-23 2132
文章目录一、引言1.1、为什么要学习安全测试以及什么是安全测试1.2、什么是安全测试 一、引言 1.1、为什么要学习安全测试以及什么是安全测试  为了安全、有效的进行权限控制、不能随意提交数据进行修改、避免跨站式脚本的攻击。我们偶尔会听到这么一些报道,说某个网站的首页被篡改,敏感数据被泄露或者是重要信息被更改。其实这些问题就是因为黑客利用了系统安全漏洞,对系统进行攻击导致而成,从而导致损失的代价也是不言而喻的。因此安全测试也成为了系统质量保证中必不可少的一部分,那么安全测试具体有什么好处呢? 提升产品的安
服务器安全检测和防御技术
嚴 帅的博客
09-19 4168
目录 1.DOS攻击检测和防御技术 1.1 配置思路 2.漏洞攻击入侵和防御技术 2.1 漏洞防护原理 2.2 漏洞攻击防护方式 2.3 配置思路 2.4 误判处理 3.Web攻击检测和防御技术 3.1 常见的Web攻击手段 3.2 配置思路 3.3 误判处理 4.联动封锁技术 4.1 策略联动配置 4.2 策略联动配置 4.3 误判处理 5.网页防篡改技术 5.1 防篡改主流技术 5.2 深信服网页防篡改技术 5.3 配置思路 5.4 注意事项 1.DOS攻击..
安全测试的一些思考总结
weixin_30924239的博客
09-15 213
一、SQL注入 SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令 1、表单类注入 登录时SQL应该是这样: select * from user where username='chengzi' and password=md5('123456'); 我们现在需要构建一个比如:在用户名输入框中输入: ’ or 1...
安全测试的考虑点及测试方法
qq_37051174的博客
06-12 1197
安全测试的考虑点及测试方法 软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.用户推出系统后是否删除了所有鉴权标记,是否...
安全测试需考虑的问题
06-06 395
安全测试的目的: 提升IT产品的安全质量; 尽量在发布前找到安全问题予以修补降低成本 ; 度量安全。 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵,不受各种因素的干扰。 软件安全性测试包括程序、数据库安全性测试。领过国际指出根据系统安全指标不同测试策略也不同。   用户认证安全的测试要考虑问题:   1....
神秘的安全测试思考案例(一)
专业资深测试者,多年质量管理经验,浪迹网游、金融、房产、招聘及海外行业多年,CDSN百万原创阅读,公众号500+原创文章,提倡测试左移、风险、越权、假设、探索测试,喜欢用抽象思维模式思考和技术探讨,自动化、性能、安全测试实施者,感谢关注!
04-11 2272
   定义:安全测试是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。   概念:安全测试是检查系统对非法侵入渗透的防范能力。   准则:理论上来讲,只要有足够的时间和资源,没有无法进入的系统。因此,系统安全设计的准则是使非法侵入的代价超过被保护信息的价值。   目标:通过对系统进行精心、全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,...
会话重放攻击与完整性校验解决方案
阿强的博客
05-03 5856
简介: 攻击者发送一个目的主机已经接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。也可利用系统中POST请求数据包未针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库中插入海量数据,或无限制的上传文件到系统中,造成资源浪费。 解决方案: 后端写个方法,生成系统当前时间,待前台调用 System.cu...
第2篇:关于企业安全测试思考1
08-03
企业安全测试是确保信息安全的基石,涉及到渗透测试、安全众测和自建SRC等多种方式,为企业提供了全面的防御策略。在数字时代,安全测试的重要性与日俱增,它不仅是一种技术手段,更是企业信息安全保障的重要组成...
基于攻击视角完善信息安全弹性防御体系的思考.docx
09-14
本文探讨了如何基于攻击视角来完善信息安全弹性防御体系,以应对当前互联网环境中的安全挑战。文章首先强调了从攻击者的角度出发构建防御体系的重要性,以确保防御策略的有效性。 在行业现状部分,文章指出银行业已...
「安全教育」PPDRR安全模型在业务安全上的新思考 - 渗透测试.zip
12-04
【安全教育】PPDRR安全模型在业务安全上的新思考 - 渗透测试,这个主题聚焦于如何在当前数字化环境中,特别是在云安全、数据安全、安全教育、安全管理以及终端安全等多个层面,应用PPDRR(预测、保护、检测、响应、...
新媒体时代对手机APP安全防御系统的设计和思考.pdf
08-26
7. **安全开发流程**:集成安全开发实践到整个APP开发生命周期,如采用安全编码标准、进行安全测试和代码审查。 新媒体时代下,APP不仅需要提供丰富的功能,更要保障用户的安全。因此,设计一个全面、动态的安全...
软件测试如何最大程度预防bug?你知道吗?
测试小小小的博客
08-18 868
如何最大程度预防bug? 在接到产品需求进行开发前,怎么样才能最大程度的降低开发错误或明显bug的情况? 答案是在「开发前做设计」。 通常,一个功能的设计要包含几个方面: 1.已有功能情况 2.需求情况 3.数据库设计 4.接口设计(包括request与response字段设计) 5.流程图 6.类图 因为做设计本身需要花费比较长的时间,所以并不是所有功能都要做非常完整的设计,当然不同团队对设计也有不同的要求,大家选择对自己有意的内容去实践则
安全测试流程一点思考
sinat_22522367的专栏
10-13 1653
产品开发测试会以Feature形式介入,参与需求分析,开发设计,集成验证等各个阶段。 1. 测试设计阶段,根据需求文档做分析并设计用例场景,和需求开发交流测试场景,如证书初始化。 2. 参与开发澄清讨论,主要还是集中在需求及实现方面问题,确保各方对业务需求理解的一致性和合理性。另外砍不必要的如一些重复告警等功能,去掉不需实现功能。 3. 前端功能测试,不同模块组件的集成测试,单个功能点的验证...
预防性测试
weixin_37810449的博客
03-08 341
预防性测试,是在写代码之前,针对需求的测试。 预防性测试的要求,就是尽早的发现问题,进而提高产品的质量。 下面来分享一个实例。 比如针对提款机,提出了这样一个需求:一名有效用户能够提取多达200美元的金额或者其账户中的最高数额。 我们来想一想这是个多么可怕的需求。 我们来想一想这是个多么可怕的需求。 我们来想一想这是个多么可怕的需求。 针对这个需求,请写出测试用例,来
浅析安全测试
weixin_34343000的博客
01-02 385
web应用无处不在,存在于每个行业,现在的发展速度非常快速,且web应用在软件开发中所扮演的角色不断成长并且越来越重要,而现在,web应用遭受着格外多的安全攻击,其原因在于,现在的网站以及在网站上运行的应用在某种意义上来说,它是所有公司或者组织的虚拟正门,所以比较容易遭受到攻击,存在安全隐患今天主要给大家分享下有关安全测试的一些知识点以及注意事项,主要是以下几点:1、安全测试的验证点:一个系统的安...
安全测试之测试工具Fiddler
weixin_37998428的博客
08-17 6910
1,简短说明 1,Fiddler是什么?【不做重点介绍,自查】 2,安装Fiddler:系统是win7,我用的是Fiddler_4,需要Microsoft .NET Framework 4以上版本 3,因图片较大,截图的时候局部模糊,但不影响用 2,Fiddler使用说明 1,抓取本地浏览器请求,快捷键F12 2,过滤设置 3,XSS攻击 按F11,然后浏览器请求,Fidd...
安全测试之重放攻击
weixin_37998428的博客
08-17 5922
1,简短说明 1,什么是重放攻击? 抓包工具拦截并克隆你的请求,用克隆的请求访问你的后台 抓包工具可以克隆请求的所有内容(url,data,cookie,session,header等等) 2,如何防御重放攻击 网上有很多方法,思路多也广,下面介绍下我用到的方法 环境:内网环境,访问量不大 因为内网,所以客户端与服务端时间不好协调一致,时间戳不适用 于是联想到,手机登录验证码 ...
安全测试之黑白盒
weixin_37998428的博客
08-17 3868
1,简短说明 1,什么是白盒测试? 白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试 “白盒”法全面了解程序内部逻辑结构、对所有逻辑路径进行测试 “白盒”法是穷举路径测试 2,什么是黑盒测试? 功能测试,着眼于程序外部结构,不考虑内部逻辑结构 主要针对软件界面和软件功能进行测试 2,常见安全测试问题 1,白盒测试常见问题【常用测试工具:HP-Fortify】 1....
安全测试之测试工具AppScan
weixin_37998428的博客
08-17 3597
1,简短说明 1,什么是AppScan?【不做重点介绍,自查】 2,使用版本是AppScan_9,AppScan_8对外部浏览器支持不佳 2,AppScan使用说明 1,常规扫描不做说明【自查】 2,选择外部浏览器 3,手动探索 点击手动探索,输入url,点击确定 浏览器点击项目各流程,关闭浏览器后,出现以下页面 导出探测到的url,保存,下次可以直接使用 4,导入...
Web安全渗透测试基础入门视频教程
掌握这些原理可以帮助安全测试人员更好地评估系统的安全强度和配置。 4. WEB各个架构信息探针补充和实战 - Web架构信息探针是指通过各种手段来获取网站架构的详细信息。补充和实战环节则强调了将理论知识应用到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值