웹 보안 테스트를 위한 지식 포인트는 무엇입니까?-안전-php.cn

웹 보안 테스트를 위한 지식 포인트는 무엇입니까?

WBOY

풀어 주다： 2023-05-11 18:34:06

앞으로

1337명이 탐색했습니다.

보안 테스트란 무엇인가요?

보안 테스트는 애플리케이션이 적대적이고 악의적인 입력에도 불구하고 여전히 요구 사항을 완전히 충족할 수 있다는 증거를 제공하는 것입니다.

a. 증거 제공 방법은 무엇인가요? 우리는 실패한 보안 테스트 케이스 실행 결과 세트를 사용하여 웹 애플리케이션이 보안 요구 사항을 충족하지 않음을 증명합니다.

b. 보안 테스트의 필요성을 어떻게 보시나요? 보안 테스트는 선별할 입력 및 출력이 더 많기 때문에 기능 테스트보다 요구 사항에 더 많이 의존합니다.

진정한 소프트웨어 보안은 실제로 위험 관리를 의미합니다. 즉, 소프트웨어의 보안 수준이 비즈니스 요구 사항을 충족하는지 확인하기만 하면 됩니다.

보안 테스트를 수행하는 방법은 무엇입니까?

실제 실습과 결합된 일반적인 공격 및 취약점을 기반으로 한 보안 테스트 사례를 추가하는 것은 보안 테스트를 일상적인 기능 테스트의 간단하고 일반적인 부분으로 바꾸는 방법입니다.

보안에 영향을 미치는 특별한 경계 값과 보안에 영향을 미치는 특별한 동등 클래스를 선택하고 이를 테스트 계획 및 테스트 전략 프로세스에 통합합니다.

그러나 기능 테스트를 기반으로 보안 테스트를 수행한다면 수많은 테스트 케이스가 추가되어야 합니다. 즉, 관리가 가능하도록 하려면 초점 범위를 좁히고 테스트를 자동화하는 두 가지 작업을 수행해야 합니다.

웹 보안 테스트에서 일반적으로 고려되는 테스트 포인트는 무엇입니까?

1. 문제: 검증되지 않은 입력
테스트 방법:

데이터 유형(문자열, 정수, 실수 등)
허용되는 문자 집합

최소 및 최대 길이
빈 입력 허용 여부
매개 변수가 다음과 같습니다.
반복 허용 여부
숫자 범위
특정 값(열거형)
특정 패턴(정규식)

2. 문제: 접근 제어에 문제가 있음

테스트 방법:

주로 필요한 경우에 사용됨 사용자 신원을 확인하고 권한이 있는 페이지의 URL 주소를 복사하세요.페이지를 닫은 후 복사된 주소에 직접 접근할 수 있는지 확인하세요. 예: 한 페이지에서 다른 페이지로 연결되는 링크 사이에 URL 주소가 표시됩니다. 주소를 직접 입력하세요. 권한이 없는 페이지 정보를 볼 수 있습니다

3. 인증 및 세션 관리가 잘못되었습니다

예: 그리드, 라벨, 트리 보기 클래스의 입력 상자가 확인되지 않고 입력 내용이 html에 따라 파싱됩니다. 구문 나오세요

4. 버퍼 오버플로

핵심 데이터가 암호화되지 않습니다

예: view-source: http 주소는 소스 코드를 볼 수 있으며 페이지에 비밀번호를 입력하면 페이지에 *****가 표시되고 마우스 오른쪽 버튼을 클릭하면 소스 파일 보기 방금 입력한 비밀번호를 확인하세요

5. 서비스 거부

분석: 공격자는 호스트에서 많은 애플리케이션을 소진시킬 만큼 충분한 트래픽을 생성할 수 있으며, 이를 처리하려면 로드 밸런싱이 필요합니다

. 6. 보안 구성 관리 없음

분석: 구성의 링크 문자열과 사용자 정보, 이메일, 데이터 저장 정보를 보호해야 합니다.

프로그래머가 해야 할 일: 모든 보안 메커니즘 구성, 모든 사용하지 않는 서비스 끄기, 역할 권한 계정 설정, 로그 및 경고 사용

분석: 사용자는 버퍼 오버플로를 사용하여 웹 애플리케이션 스택을 파괴합니다. 특별히 작성된 코드를 삽입하여 전송합니다. 공격자는 웹 애플리케이션이 임의의 코드를 실행하도록 허용할 수 있습니다

7. 주입 취약점