久久久久国产精品www,综合久久无码,亚洲精品99久久久久中文字幕,无码伊人网Apdm

網站安全滲透測試的各種姿勢
瀏覽:346 時間:2022-9-8

首先,改變安全測試的視角

我認為,無論是擁有全棧工作經驗還是僅有部分技術專長,要想做好安全測試,首先要改變我們觀查軟件的視角。例如,讓我們看一下同一幅畫。很多人第一眼看到的是兩張臉,但是很多人看到的是一個大花瓶。這是觀查角的差異造成的。當我第一次接觸安全測試時,我深深地感受到了這一點。當時我還在測試一個Web應用的賬號登錄功能。當我們嘗試通過鍵入不正確的登錄名登錄時,計算機瀏覽器上的消息是“此登錄名將不可用”。當我們嘗試正確的登錄名和不正確的登錄密碼時,消息提示變?yōu)椤安徽_的登錄密碼”我對這個明確的錯誤提示非常滿意。想象一下,如果我是一個真正的終端產品,這個信息內容會幫助我縮小糾錯范圍,提高工作效率,這是非常好的。

然而,蹲在我身邊的安全測試工程師立刻跳了出來:“這條信息提示必須更改!敏感信息內容被曝光!”看到我一臉茫然,安全測試工程師告訴我,根據我們的信息,系統(tǒng)軟件的故意用戶可以推斷出系統(tǒng)軟件中已經存在什么登錄名,然后利用這個登錄名對登錄密碼進行暴力破解密碼,從而縮小破譯范圍。因此,這些信息內容不僅為合理合法的客戶提供了便利,也為系統(tǒng)軟件的惡意用戶提供了便利。通常,這種便利對于系統(tǒng)軟件的有意用戶的好處遠遠高于對于合理合法客戶的好處。

這次親身經歷不僅讓我震驚,也讓我意識到以前很多安全系統(tǒng)漏洞都擺在我眼前,但是我沒有看到,因為我想的太多了。事實上,在我們親身經歷的不同新項目中,當我們改變視角時,我不必尋找一些安全系統(tǒng)漏洞,而只是來到我的眼前。這一切都很容易得到。

第二,改變測試中的模擬目標

為了從不同的角度觀察軟件,我們必須改變模擬目標。這也是我們一起練習換角的合理方式。我們在做非安全測試的時候通常會把自己當成一個合理合法的客戶,然后才開始認證系統(tǒng)軟件是否能夠達到預設的總體目標。比如一個網上商城系統(tǒng),我們會認證系統(tǒng)軟件是否可以讓客戶訪問和購買產品,我們還會測試一些異常的個人行為,比如購買的產品總數是否不是一個大數字,而是一串沒有意義的英文字母,看看系統(tǒng)軟件能否給出一個優(yōu)雅的回復。我們測試的目的通常是為了確??蛻粼诜稿e后可以再次購買,換句話說,他們不必對系統(tǒng)軟件造成任何嚴重的損壞。如果你想進行安全測試,你必須去另一種類型的用戶——,預期用戶——進行系統(tǒng)模擬。他們的目標是找到系統(tǒng)軟件中可鉆的系統(tǒng)漏洞。例如,同樣是在線商城系統(tǒng)。意向客戶的總體目標之一是找到用更少的錢甚至不用付錢就能得到產品的方法。所以,如果有心的客戶進行“操作失誤”,就不容易停留在“操作失誤”上,而只是根據“操作失誤”,似乎系統(tǒng)軟件為自己展示了大量的案件線索。

因此,我們在測試的時候一定要改變模擬的目標,從合理合法的客戶角度拉出邏輯思維,變成有意的客戶。這需要一點時間,就像我們之前看到的畫一樣。如果我們一開始看到了臉,如果下次想第一眼看到大花瓶,一定要有時間刻意練習。

第三,專用測試工具的應用有邏輯思維的轉化,可以增加新的測試思路。但是在實際的安全測試中,我們會發(fā)現(xiàn)模擬有意客戶的個人行為并不是那么容易的。畢竟系統(tǒng)軟件的前端開發(fā)會讓我們設置很多天然的壁壘。而且故意客戶不總是從系統(tǒng)軟件進來。此時此刻,應用一些特殊的工具非常有幫助,比如OWASp。我們可以在操作界面上實現(xiàn)系統(tǒng)測試用例,使用這個特殊的工具獲取http請求,這些請求被偽造并發(fā)送到后臺管理網絡服務器。有了這個好用易上手的專用工具,我們可以實現(xiàn)很多有心客戶的實際操作場景。要保證這三點,進行安全測試就足夠了。如果你想對你的網站或App進行安全測試,推薦幾家專業(yè)的網站公司,如SINESAFE、鷹盾安全、啟明星辰, 銨太科技等。

友情提醒:A5官方SEO服務為您提供權威網站優(yōu)化解決方案,可快速解決網站流量和排名異常,網站排名無法突破瓶頸等服務:http://www.admin5.cn/seo/zhenduan/