安全测试
关注
分享
扫一扫
文章平均质量分 79
安全测试基础知识及安全测试相关工具分享
灯塔-tester
这个作者很懒,什么都没留下…
展开
-
loadrunner下websocket协议性能测试(三)
loadrunner下websocket协议性能测试(三)文章目录loadrunner下websocket协议性能测试(三)前言一、选择协议创建脚本二、创建socket通道三、发送协议升级报文四、发送websocket报文五、关闭socket通道总结前言前面2章简单讲了websocket协议基础知识和报文的组装,本章将讲解如何在loadrunner11中编写websocket脚本,socket协议的使用后续单独写吧一、选择协议创建脚本1.打开loadrunner ,创建脚本,选择Multipl原创 2021-11-24 14:26:44 · 1756 阅读 · 0 评论 -
(七)安全测试基础:TCP与IP协议
TCP与IP协议概述安全测试离不开网络协议,本篇简单讲解一下TCP与IP协议基础知识一、OSI七层模型和TCP/IP四层模型对比 OSI七层模型 TCP/IP四层模型 常见协议 应用层 应用层 SMTP、HTTPS、DNS、HTTP、Telnet、POP3、SNMP、FTP、NFS 表示层 会话层 传输层原创 2021-03-19 11:28:47 · 1098 阅读 · 1 评论 -
(二)安全测试实施:安全测试基础业务用例整理
安全测试基础业务用例整理通用业务描述验证方法安全等级用户名SQL注入输入框输入’or ‘a’='a,输入密码点击登录S0密码SQL注入密码输入框输入’or ‘a’='a,点击登录S0用户名大小写不区分使用大小写的用户登录S3密码大小写不区分使用大小写的密码登录S3设置基本的复杂度规则,如密码最短长度(建议8位及以上),大小写字母+数字+符号的组合等使用弱密码页面校验不通过S2对默认密码要求强制改密对第一次登录的用户提示修改密码S原创 2021-03-12 14:59:56 · 628 阅读 · 0 评论 -
(一)安全测试实施:安全测试通用用例整理
安全测试通用用例整理通用安全测试用例SQL注入漏洞SQL注入 S0命令注射漏洞 S0跨站脚本攻击(XSS)跨站脚本攻击(XSS)S0文件任意上传文件任意上传 S0表单漏洞测试表单漏洞测试 S1Cookie欺骗Cookie欺骗 S1越权用户权限控制 S1页面权限控制 S1sessionSession互窜 S1Session超时 S1日志记录的完整性日志记录的完整性 S1信息安全用户信息 S2系统信息 S3数据库安全数据库名称和存放位置安全 S3数据库本身的安全 S3数据使用时的一致性和完整性测试 S3数据库访原创 2021-03-11 16:23:43 · 3320 阅读 · 2 评论 -
(六)安全测试基础:软件安全常见问题及验证方法
常见安全问题整理SQL注入 跨站脚本(XSS) 信息泄露 跨站请求伪造(CSRF) 文件任意上传 越权操作 失效的身份认证和会话管理 提交请求重复 未验证的重定向和转发 网页脚本错误SQL注入SQL 注入又称为 SQL Injection,又会简写为 SQLi。那什么是 SQL 注入?SQL 注入通常出现在网站的页面中有提交表单之处,而这些表单的提交会涉及到数据库的查询等一些操作,此时攻击者使用 SQL 的一些命令上的技巧来获取到敏感的数据,甚至是获取到 we..原创 2021-03-11 15:33:37 · 1551 阅读 · 0 评论 -
(五)安全测试基础:安全测试常见技术
安全测试常见技术概述:人工检查及复查 软件威胁建模 代码复查 渗透测试人工检查及复查概要人工检查是安全测试过程中,通过人工检查或者审核的方式对应用开发过程中的人,策略和进程,包括技术决策如开发模型设计进行安全检测。人工检查通常采取文件分析或对设计师或系统的所有者进行访谈的方式进行。虽然人工检查和人员访谈这个概念十分简单,但是它们确是最强大的和有效的可用技术。通过询问别人这件事如何运行,为什么采用当前的运行模式,能够帮助测试人员快速确定是否存在显而易见的安全问题。人工检查及复查是在软件原创 2021-03-09 14:20:45 · 1549 阅读 · 0 评论 -
(四)安全测试基础:软件产品安全测试
软件产品安全测试软件产品安全测试测试于以下几个方面:用户对数据或业务功能的访问控制,数据存储和数据通信的远程安全控制1. 用户管理和访问控制 1. 用户权限控制对于应用软件来说,用户权限的控制是很重要的,一个用户能够访问一个应用系统的权限,通常来源于三个方面:应用软件本身、操作系统和数据库。应用软件产品在开发过程中,主要采用用户名和密码登录的方式完成,对于安全强度较高的产品也可采用指纹认证、智能卡认证等方式进行。对于测试人员来说,应当注意几个方面,首先应当评价用户权限...原创 2021-03-08 17:55:10 · 1216 阅读 · 0 评论 -
(三)安全测试基础:安全测试的方法
安全测试的方法1. 功能验证功能验证是采用软件测试中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块、权限管理模块、加密系统、认证系统等进行测试,主要是验证上述功能是否有效。2. 漏洞扫描安全漏洞扫描通常是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全防护中做到有的放矢,及时修补漏洞。漏洞扫描器分为两种类型:主机漏洞扫描器和网络漏洞扫描...原创 2021-03-08 13:26:24 · 5056 阅读 · 5 评论 -
(二)安全测试基础:安全测试策略
1. 基本安全防护系统测试基本安全防护系统一般采用防火墙、入侵检测、漏洞扫描、安全审计、病毒防治、Web信息防篡改、物理安全等基础安全技术,以保证应用系统的安全。针对不同的安全技术,设计的测试的如下:防火墙:是否支持交换和路由两种工作模式 是否支持对HTTP、FTP、SMTP等服务类型的访问控制 是否考虑到防火墙的冗余设计 是否支持对日志的统计分析功能,同时日志是否可以存储在本地和网络数据库上 对防火墙本身或受保护网段的非法攻击系统,是否提供多种告警方式以及多种级别的告警...原创 2021-03-08 10:11:52 · 2284 阅读 · 0 评论 -
(一)安全测试基础:安全测试的内容
引言:软件安全性与软件的易用性相悖,易用性较强的软件往往安全性比较差,安全性较强的软件易用性交叉,在进行安全性测试时应当考虑安全性需求与功能、易用性的协调,取得软件系统整体性能的平衡点。安全测试的内容 1.用户认证机制用户认证是指软件系统用户在使用软件或系统时,必须提供用户身份证明,然后软件系统根据用户数据库资料,开放特定的权限给登录用户。目前主要的用户认证机制分类:数字证书:数字证书又称数字签名,通常是基于对称对加密的,这是一种检验用户身份的电子文件,提供较强的...原创 2021-03-05 10:56:11 · 5060 阅读 · 1 评论 -
ubuntu20下metasploit激活
安装了Metasploit后,接下来需要做的就是激活许可证密钥。每个许可证密钥都绑定到特定版本的Metasploit,并允许您访问已注册的版本。1.打开浏览器并转到https://localhost:3790。注:如果收到有关安全证书可信赖性的警告,请选择了解风险并希望继续访问网站。警告显示的文字取决于您使用的浏览器。2.当出现Metasploit Pro的Web界面时,将显示“新用户设置”页面。按照屏幕上的说明为Metasploit Pro创建用户帐户。保存用户帐户信息,以便以后可以使用.原创 2021-03-03 09:31:26 · 1570 阅读 · 1 评论 -
1.ubuntu20 安装metasploit
1.打开Terminal窗口,输入命令:sudowget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run2.给安装文件赋操作权限,执行命令:sudo chmod +x metasploit-latest-linux-x64-installer.run3.运行安装包,执行命令:sudo./metasploit-latest-linux-x64-installer.ru..原创 2021-03-03 09:21:16 · 1570 阅读 · 0 评论