安全測試與功能測試 滲透測試理解與區別?

2022-06-17 13:18:10 字數 2001 閱讀 9337

一、基本理解:

安全測試什麼時候開始進行?

安全測試是在it軟體產品的生命週期中,特別是產品開發基本完成到發布階段,對產品進行檢驗以驗證產品符合安全需求定義和產品質量標準的過程 。

安全測試與功能測試的區別:

1.目標不同:測試以發現bug為目標,安全測試以發現安全隱患為目標。

2.假設條件不同:測試假設導致問題的資料是使用者不小心造成的,介面一般只考慮使用者介面。安全測試假設導致問題的資料是攻擊者處心積慮構造的,需要考慮所有可能的攻 

擊途徑。

3.思考域不同:測試以系統所具有的功能為思考域。安全測試的思考域不但包括系統的功能,還有系統的機制、外部環境、應用與資料自身安全風險與安全屬性等。

4.問題發現模式不同:測試以違反功能定義為判斷依據。安全測試以違反許可權與能力的約束為判斷依據。

與滲透測試的區別:

1.出發點差異:滲透測試是以成功入侵系統,證明系統存在安全問題為出發點;而安全測試則是以發現系統所有可能的安全隱患為出發點。

2.視角差異:滲透測試是以攻擊者的角度來看待和思考問題,安全測試則是站在防護者角度思考問題,盡量發現所有可能被攻擊者利用的安全隱患,並指導其進行修復。

3.覆蓋性差異:滲透測試只選取幾個點作為測試的目標,而安全測試是在分析系統架構並找出系統所有可能的攻擊介面後進行的具有完備性的測試。

4.成本差異:安全測試需要對系統的功能、系統所採用的技術以及系統的架構等進行分析,所以較滲透測試需要投入更多的時間和人力。

5.解決方案差異:滲透測試無法提供有針對性的解決方案;而安全測試會站在開發者的角度分析問題的成因,提供更有效的解決方案。

二、安全測試方法:

1、功能測試

採用黑盒測試方法,對設計安全的模組進行驗證

如:使用者管理,許可權管理,加密系統,認真系統

對使用者隱私,檢查是否在本地儲存使用者密碼,無論加密與否;檢查敏感的隱私資訊,如聊天記錄、關係鏈、銀行賬號等是否進行加密;檢查是否將系統檔案、配置檔案明文儲存在外部裝置上;部分需要儲存到外部裝置的資訊,需要每次使用前都判斷資訊是否被篡改。

對網路傳輸,檢查敏感資訊在網路傳輸中是否做了加密處理,重要資料要採用tls或者ssl。http請求預設是明文的,如果安全驗證和加密機制很爛,通過網路嗅探掃瞄,很容易被猜到和模擬請求,也可能被注入。

對迭代公升級,檢查是否對公升級包的完整性、合法性進行了校驗,避免公升級包被劫持。

對介面擷取,通過adb shell命令或第三方軟體獲取root許可權,在手機介面擷取使用者填寫的隱私資訊,隨後進行惡意行為。

2、漏洞掃瞄

安全漏洞掃瞄,借助漏洞掃瞄器完成,它可以自動檢測遠端或本地主機的安全性。

主機漏洞掃瞄器(host scanner):cops、tripewire、tiger

網路漏洞掃瞄器(net scanner):satan、iss internet scanner

3、模擬攻擊實驗

冒充形式:

口令猜測:黑客識別出可利用的使用者賬戶,控制機器

緩衝區溢位:**層的漏洞,指標指向惡意**,執行惡意指令,得到系統控制權

第一:要明白原理,不論是sql注入、xss還是csrf等,都是要了解入侵原理的,否則會擴大測試範圍。比如有人問我,你測試了csrf了嗎?你測試許可權會話劫持了嗎?你測試越權了嗎?來自於竊取使用者cookies後的不同操作,如何保證cookies被竊取後不被他人使用才是測試的關鍵。這樣做才能減少各種名詞對於測試人員的傷害。

第二:要把原理轉換成用例。針對每個頁面,或者有功能的頁面(增刪改)等。先判斷頁面是否有必要測試(靜態頁面做sql注入就沒必要)。然後再將原理轉換成合適的用例。類似於這張截圖:

三、常見的安全問題處理方式

1、資料安全

aws伺服器、雲端(阿里雲)等部署的專案實現熱備、冷備處理方式

2、應用層安全

應用掛掉,可以手動啟動機制

應用一鍵部署和啟動

安全測試 滲透測試的理解

安全 測試不 同於滲透 測試,滲透測試側重於幾個點的穿透攻擊,而 安全測試是側重於對安全威脅的建模,系統的對來自各個方面,各個層面威脅的全面考量。安全測試可以告訴 您,您的系統可能會來自哪個方面的威脅,正在遭受哪些威脅,以及您的系統已經可抵禦什麼樣的威脅。當然,安全測試涵蓋滲透測試的部分內容。安全測...

常規測試 安全測試 滲透測試 區別

一 常規測試 vs 安全測試 常規測試 安全測試 1.目標差異 常規測試以發現bug為目標 安全測試以發現安全隱患為目標 2.假設條件差異 常規測試假設導致問題的資料是使用者不小心造成的,介面一般只考慮使用者介面 安全測試假設導致問題的資料是攻擊者處心積慮構造的,需要考慮所有可能的攻擊途徑 3.思考...

安全測試以及安全測試與滲透測試的區別

安全測試不同於滲透測試,滲透測試側重於幾個點的穿透攻擊,而安全測試是側重於對安全威脅的建模,系統的對來自各個方面,各個層面威脅的全面考量。安全測試可以告訴您,您的系統可能會來自哪個方面的威脅,正在遭受哪些威脅,以及您的系統已經可抵禦什麼樣的威脅。當然,安全測試涵蓋滲透測試的部分內容。安全測試與滲透測...