返回
《web测试安全篇》ppt课件

《web测试安全篇》ppt课件

ID:40064590

大小:806.55 KB

页数:30页

时间:2019-07-18

《web测试安全篇》ppt课件_第1页
《web测试安全篇》ppt课件_第2页
《web测试安全篇》ppt课件_第3页
《web测试安全篇》ppt课件_第4页
《web测试安全篇》ppt课件_第5页
资源描述:

《《web测试安全篇》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Web测试:安全篇胡胜强Web安全测试定义Web安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,web系统应用仍然能够充分地满足它的需求。-----《web安全测试》安全测试概述据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划,始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中

2、包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。安全测试概述安全测试概述安全测试概述我们遵循普通用户所采取的方法来测试应用的功能。如果我们不确定与其行为是什么,通常也会通过询问别人、阅读需求或者使用我们的直觉的方法知道。负面测试遵循一些从正面测试中自然而直接地获取的原则。我们知道银行的存款不应该是负值;密码不应该是1MB的JPEG图片;电话号码中不应该包含字母。随着我们对应用进行并建立起正面的功能测试,建立反面测试就自然而然成为下一步。这与安全测试有什么关系?安全测试就是要提供证据表明

3、,在面对敌意和恶意输入的时候,应用仍然能够充分地满足他的需求。安全测试概述--WEB应用Web应用具有各种各样的形式和规模。他们用各种语言编写,运行在各种操作系统上,已各种方式运行。每种Web应用的核心在于,它的所有功能都是使用http进行通信的,而它的结果通常是采用html格式。输入是使用get、post及类似方法进行通信的。Web应用是一切使用http进行通信的软件。注意,要成为Web应用,必须执行某种业务逻辑,输出中必须存在某种可能的变化,必须做出一些判断,否则我们实际上并不是在测试软件。安全测试概述--WEB

4、应用通过功能测试,我们设法向用户证明这个软件可以像宣传的那样正常工作。通过安全测试,我们设法使每个人确信,即使面临恶意输入,它仍然可以像宣传的那样正常工作。我们设法模拟真实的攻击和真实的漏洞,同时用这些模拟与我们有限的测试融为一体。因而,Web安全测试就是使用多种工具,包括手动工具和自动工具,来模拟和激发我们的Web应用活动。安全测试与功能测试的区别目标不同:测试以发现BUG为目标,安全测试以发现安全隐患为目标。假设条件不同:测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面。安全测试假设导致问题的数据

5、是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。思考域不同:测试以系统所具有的功能为思考域。安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。问题发现模式不同:测试以违反功能定义为判断依据。安全测试以违反权限与能力的约束为判断依据。安全测试与渗透测试区别出发点差异:渗透测试是以成功入侵系统,证明系统存在安全问题为出发点;而安全测试则是以发现系统所有可能的安全隐患为出发点。视角差异:渗透测试是以攻击者的角度来看待和思考问题,安全测试则是站在防护者角度思考问题,尽量发现

6、所有可能被攻击者利用的安全隐患,并指导其进行修复。覆盖性差异:渗透测试只选取几个点作为测试的目标,而安全测试是在分析系统架构并找出系统所有可能的攻击界面后进行的具有完备性的测试。安全测试与渗透测试区别成本差异:安全测试需要对系统的功能、系统所采用的技术以及系统的架构等进行分析,所以较渗透测试需要投入更多的时间和人力。解决方案差异:渗透测试无法提供有针对性的解决方案;而安全测试会站在开发者的角度分析问题的成因,提供更有效的解决方案。安全测试相关名词白盒测试:根据提测时填写的SVN,持续进行白盒扫描,根据安全测试的规则,

7、扫描代码中的漏洞,这是纯代码级的,不需要应用正常启动,BUG全部修复视为白盒测试通过黑盒测试:在白盒测试通过后进行。人工执行一遍项目中所有的业务流程,在执行的过程中进行攻击性测试,BUG全部修复视为黑盒测试通过。安全测试相关名词编码方式:数据编码是指把需要加工处理的数据库信息,用特写的数字来表示的一种技术,是根据一定数据结构和目标的定性特征,将数据转换为代码或编码字符,在数据传输中表示数据组成,并作为传送、接受和处理的一组规则和约定。分类:Base64、URLEncode、HexEncode、htmlEncode、U

8、TF-7…安全漏洞:是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬件软件或使用策略上的缺陷,他们会使计算机遭受病毒和黑客攻击。安全测试相关名词http传输方式:HTTP是超文本传输协议,是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。在Internet上的Web服务器上存放的都是超文本信息,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。