在目前的 web 安全黑盒測試方法中,一般是按照黑客攻擊的手法進行測試,以達到準確性與全面性。那麼,如何保證黑盒測試的全面性與準確性呢?總結一下,可以有以下幾個方面:
1、對產品專案的熟悉程度。
測試之前,對專案進行了解跟蹤,熟悉專案的所有功能、介面以及與其他專案的關聯性(有時候a專案的功能會造成b專案存在安全風險)。
2、全面的技術知識。
3、超強的漏洞挖掘能力,以及實戰能力。
安全測試時,必須按照黑客攻擊的手法進行測試,所以,這就要求web安全測試人員擁有超強的漏洞挖掘能力與漏洞認知度。同樣還要擁有實戰經驗,乙個沒有實踐經驗的測試人員,不是乙個好的安全測試人員,當安全測試人員並不知道安全bug所造成的的方式與利用後所造成的影響,就不能全部的發現所有安全 bug,同時又不能在各個安全bug危險度上進行分級,這就造成一些安全bug的疏漏。
4、黑盒測試標準
總結出乙個黑盒測試標準文件,對所有可能影響的安全漏洞進行羅列,並詳細描述黑盒測試的方法與步驟,在專案測試過程中對條目中的所有漏洞進行檢測,並嚴格按照規定的方法進行測試。
5、細心+用心
乙個很小的功能,就可能造成很大的安全漏洞,如果未測試到就進行上線,就可能造成黑客攻擊,所有的使用者帳戶被盜取,或者應用癱瘓。
所謂工欲善其事,必先利其器,這裡列出了一些常用的黑盒測試工具:
1、掃瞄工具:
web vulnerability scanner
ratproxy
2、嗅探工具:
軟體測試之黑盒測試
2 等價類測試 3 因果圖 4 基於決策表的測試 即 功能性測試 邊界值分析 單缺陷假設 通過使所有變數取正常值,只使乙個變數取極值 使用在min min nom max 和max處取輸入變數值 對於乙個n變數函式,邊界值分析會產生4n 1個測試用例 健壯性測試 除了變數的五個邊界值分析取值,還要通...
軟體測試之黑盒測試
功能測試,簡單的理解就是黑盒測試,就是檢測黑盒子,找到裡面存在的缺陷。功能測試新人學習計畫 1.對於產品的學習 站在客戶的角度學習產品 看待問題 測試人員不是簡單地按照開發人員的設計文件去撰寫測試相關文件,對於設計文件的準確性同樣負有責任。測試人員需要認真學習需求說明書,審核設計文件。同時,要站在客...
黑盒測試之測試方法
等價類劃分是一種常見的黑盒測試方法,該方法完全不考慮程式的內部結構,只依據程式的規程說明來設計測試用例。等價類劃分把所有可能的輸入資料劃分成若干部分,然後從每個部分中選取少數代表性資料作為測試用例。設計測試用例時注意 適用場景 由於等價類法只是孤立地考慮各個輸入資料的測試功效,而沒有考慮多個資料的組...