初学者如何入门安全测试

什么是安全测试这里我们拿最熟悉的功能测试来做对比。功能测试——我们遵循普通用户所采取的方法来使用它。安全测试——需要我们提供证据表明在面对敌意和恶意输入的时候在面对敌意和恶意输入的时候软件仍然能够充分地满足软件的需求。

提供证据指设计反安全的输入对软件进行测试。 满足需求安全通常不是我们的主要功能所以我们并不会只因为更安全就去做某件事。真正的软件安全实际上指的是风险管理。我们确保软件的安全程度能够满足我们的业务需要。只要它能够满足业务所有者——当这些所有者意识到风险并充分理解自己所承担的风险时那么这个软件就是我们就可以说是足够安全。

如何进行安全测试

通过安全测试的定义我们知道安全测试就是对软件进行反安全的输入。那我们可以从哪几方面进行反安全输入呢作为入门者我建议小伙伴可以以两个国际应用安全组织每年公布的安全漏洞作为学习地图逐一攻破。

两个国际应用安全组织

Open Web Application Security Project OWASP 该组织致力于发现和解决不安全 Web 应用的根本原因 。它们最重要的项目之一是“Web 应用的十大安全隐患”总结了目前 Web 应用最常受到的十种攻击手段 并且按照攻击发生的概率进行了排序。

Web Application Security Consortium(WASC) 一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为WWW制定被广为接受的安全标准。

OWASP Top10 - 2020

注入

失效的身份认证和会话管理

敏感信息泄露

XML外部实体注入攻击XXE)

失效的访问控制

安全配置错误

跨站脚本XSS

不安全的反序列化

使用含有已知漏洞的组件

日志记录和监控不足

Note: OWASP Top10 2020版官方暂时没有中文详细解析版只有2017版。不过2017版还是十分有参考价值每项安全漏洞都介绍的十分详细不失为入门好读物而且2020版和2017版对比只新增了3项。

WASC的Web应用漏洞分类

总结

今天我们介绍了安全测试的定义还有两个国际应用安全组织。我们可以以两个国际应用安全组织发布的安全漏洞为学习入线展开安全测试学习。 下一篇我将介绍如何针对一个Web系统进行系统性安全测试。

本站 https://blog.csdn.net/wuliao1335 所有文章均为原创如需转载请咨询我。技术类一般都有时效性本人习惯不定期对自己的博文进行修正和更新欢迎大家访问出处以查看本文的最新版本。

【文章转自台湾大带宽服务器 http://www.558idc.com/tw.html提供，感恩】