Was sind Sicherheitstests?
Sicherheitstests sollen den Nachweis erbringen, dass die Anwendung ihre Anforderungen auch angesichts feindseliger und böswilliger Eingaben noch vollständig erfüllen kann.
a. Wir verwenden eine Reihe fehlgeschlagener Ausführungsergebnisse von Sicherheitstestfällen, um nachzuweisen, dass die Webanwendung die Sicherheitsanforderungen nicht erfüllt.
b. Wie sehen Sie die Notwendigkeit von Sicherheitstests? Sicherheitstests hängen stärker von den Anforderungen ab als Funktionstests, da es mehr mögliche Ein- und Ausgänge gibt, die es zu durchsuchen gilt.
Echte Softwaresicherheit bezieht sich eigentlich auf Risikomanagement, das heißt, wir können sicherstellen, dass das Sicherheitsniveau der Software den Geschäftsanforderungen entspricht.
Wie führt man Sicherheitstests durch?
Durch das Hinzufügen von Sicherheitstestfällen, die auf häufigen Angriffen und Schwachstellen basieren, kombiniert mit tatsächlicher Praxis, können Sicherheitstests zu einem einfachen und gemeinsamen Bestandteil der täglichen Funktionstests werden.
Wählen Sie spezielle Grenzwerte mit Sicherheitsimplikationen sowie spezielle Äquivalenzklassen mit Sicherheitsimplikationen und integrieren Sie diese in unsere Testplanungs- und Teststrategieprozesse.
Wenn Sicherheitstests jedoch auf der Grundlage von Funktionstests durchgeführt werden, müssen viele Testfälle hinzugefügt werden. Das bedeutet, dass zwei Dinge getan werden müssen, um es beherrschbar zu machen: den Fokus einzugrenzen und die Tests zu automatisieren.
Welche Testpunkte werden normalerweise bei Web-Sicherheitstests berücksichtigt?
1. Problem: Nicht validierte Eingabe
Testmethode:
Datentyp (Zeichenfolge, Ganzzahl, reelle Zahl usw.)
Zulässiger Zeichensatz# 🎜🎜#
Ob leere Eingaben zulässig sind
Ob der Parameter erforderlich ist
Wiederholung ist zulässig
Wertebereich
Spezifischer Wert (Aufzählung Typ)
Spezifisches Muster (regulärer Ausdruck)
Wird hauptsächlich für Seiten verwendet Sie müssen die URL-Adresse der Seite überprüfen. Überprüfen Sie nach dem Schließen der Seite, ob Sie die kopierte Adresse direkt eingeben können Wenn Sie die Adresse direkt eingeben, können Sie die Seiteninformationen sehen, für die Sie keine Berechtigung haben
3 Falsche Authentifizierung und Sitzungsverwaltung
4 Pufferüberlauf
#Keine Schlüsseldaten werden verschlüsselt#🎜🎜 #Beispiel: view-source: http-Adresse Sie können den Quellcode anzeigen, das Kennwort auf der Seite eingeben, die Seite zeigt ***** an, mit der rechten Maustaste klicken, die Quelldatei anzeigen und Sie können das Kennwort sehen, das Sie gerade haben eingegeben
# 🎜🎜#5. Denial of Service
Analyse: Ein Angreifer kann genug Datenverkehr von einem Host generieren, um viele Anwendungen zu erschöpfen, wodurch das Programm schließlich lahmgelegt wird und ein Lastausgleich erforderlich ist #🎜 🎜#6. Unsicheres Konfigurationsmanagement
Analyse: Link-Strings in Config sowie Benutzerinformationen, E-Mails und Datenspeicherinformationen müssen geschützt werden.
Was Programmierer tun sollten: alle Sicherheitsmechanismen konfigurieren, alle nicht verwendeten Dienste ausschalten, Rollenberechtigungskonten einrichten, Protokolle und Warnungen verwenden
Analyse: Benutzernutzungspufferung Bereichsüberlauf zu Durch das Senden speziell geschriebenen Codes an die Webanwendung kann der Angreifer die Webanwendung beliebigen Code ausführen lassen
SQL-Eingabe ' oder 1=1 ―― Sie können angreifen, ohne ein Passwort einzugeben
8. Unsachgemäße Ausnahmebehandlung
Analyse: Angreifer verwenden Cross-Site-Scripting, um bösartigen Code an ahnungslose Benutzer zu senden und alle Informationen auf ihren Computern zu stehlen.
Testmethode:
HTML-Tag:< ;…>…
Escape-Zeichen: &(&);<(<);>(>); (Leerzeichen); 🎜🎜#Skriptsprache:
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
