安全测试目的
通俗的讲就是确保系统的安全性,包括保护数据不被未经授权的访问、篡改或泄露;保护系统资源(如计算资源、网络资源等)不被未经授权的访问或使用。
测试方法
1 基于黑盒的安全测试:重点关注外部入参的校验,通过对输入输出关系进行分析,以检测潜在的安全漏洞。
2 基于白盒的安全测试:测试对象是透明的,通过对源代码进行分析,进行五点分析,以检测潜在的安全漏洞。
3 漏洞扫描:这是一种自动或半自动的工具,用于检测网络系统中的潜在安全漏洞,例如一些常用的扫描工具:绿盟,burpsuite等。
4 模糊测试:fuzz测试通过向系统输入大量随机数据或异常数据来发现安全漏洞的方法。
5 渗透测试:结合攻击模式库模拟真实攻击场景,通过模拟各种攻击手段来测试系统的安全性。
测试内容
- 代码层面:检查代码中是否存在缓冲区溢出、SQL注入、跨站脚本攻击(XSS)、弱密码、硬编码的敏感信息等安全漏洞。
- 配置层面:检查系统和应用程序的配置是否合理,如数据库配置、服务器配置、防火墙规则等。
- 网络层面:检测网络的连通性、端口开放情况、网络协议的安全性等。
- 数据层面:验证数据的完整性、保密性和可用性,检查数据备份和恢复策略是否有效。
后续会考虑提供相关安全测试指导和用例