安全测试策略:重点关注场景中的数据伪造、明文、xss注入、sql注入
1.用户权限测试
2.URL安全测试
3.参数提交安全测试
4.session测试
5.cookie安全测试
6.错误代码分析测试
7.代码注入测试
可修改页面代码请求测试,也可以在参数中植入源代码进行测试
8.会话变量泄露测试
9.记住密码和重置密码测试
10.可猜测用户账户遍历测试
11.密码和验证码暴力**测试
12.绕过授权模式测试
13.认证模式绕过测试
14.文件拓展名处理测试
15.业务逻辑测试
16.用户枚举测试
工具:
Burp Suite:安全、渗透测试必备,抓包、改包、重放、自动化执行。
sqlmap:sql注入工具,配合Burp Suite使用
Httpwatch professional:网页数据分析工具
Acunetix WebVulnerability Scanne:web安全自动扫描工具。
注:自动扫描工具有个通病,误报。使用此类工具需熟悉每种安全漏洞产生的原因,且对工具的探测和确定漏洞的规则有了解。排除误报
Appscan:商用自动扫描工具,只能装在一台机器上
系统上线前,还需第三方安全公司进行渗透测试。一般在准生产环境进行。同时对系统漏洞进行回归验证。
android和ios也需要安全测试。需要对android和ios的程序有结构性的了解。相对难一些。
如:android,需要进行apk安装包二次打包检测、反编译保护检测、Activity劫持保护检测、动态注入检测、内存访问和修改检测、键盘劫持检测、webview注入检测、组件安全检测等