一、開場白
我剛開始接觸安全測試的時候,想的最多就說那種在昏暗的燈光下,帶著神秘面具的黑客,對著鍵盤噼里啪啦一頓猛如虎的操作,然後長舒一口氣,最後來了句yes,完美收工!
之後,讓我覺得安全測試只不過如此嘛,隨著個人工作經驗的不斷積累,我對於安全測試的理解也越來越深刻,此致,記錄個人對於安全測試的理解。
對於軟體安全測試,本次主要分享以下幾類安全問題,第一類:軟體系統的賬戶及資料安全;第二類:常見的web攻擊及防禦手段;第三類:業務系統測試可能存在的安全。以下
內容限於個人水平有限,如有敘述不當,還請海涵。
可以說大部分的公司,對於我們核心系統的賬戶/密碼的保護幾乎為零,任何乙個員工的任何乙個理由就能輕易的拿到管理後台的賬戶和密碼,並且對於這個賬戶的密碼幾乎也不做任何
的定期修改,還有的公司直接將客戶的使用者名稱和密碼列印在日誌裡面,對於這類情況,其最大的問題在於公司缺少對於這塊的風險意識和完善的安全機制,總會覺得一切沒有那麼巧合,或許
到這你才恍然發現,
為什麼我們的資訊會被洩露。新聞**經常報道,某某因販賣使用者資料被逮捕,但是沒抓到的又有多少呢?之前我在的一家公司,一小伙為了利益,將公司500g的客戶資
料賣給了競爭對手,
被當場抓住,之所以能抓住,一切得力於公司健全的安全機制,對於軟體系統而言,客戶的資訊至關重要,切莫讓悲劇發生!
在網際網路開始興起之初,存在各式各樣的web安全問題,不過現在隨著各種框架的不斷誕生,對於此類的安全問題都做的比較好了,同時也有很多掃瞄工具可以完成安全掃瞄,所以這塊對於
我們來說不需要投入太多的精力。但是,從學習的角度來說,了解一下常見的web攻擊及防禦手段也是有必要的。
我們先來看乙個比較通用的電商流程圖,從這個流程圖中,我們去分析可能被忽略的安全問題。
註冊登入功能,常見的業務安全漏洞:暴力破解、簡訊驗證碼回傳、簡訊轟炸、惡意簡訊傳送,縱向越權登入。
使用者資料功能,常見的業務安全漏洞:通過訂單號或id直接查詢資料詳情,不做使用者關聯校驗。
資料查詢功能,常見的業務安全漏洞:惡意爬取資料,該模組一般不會存在太多安全問題,但需要將之後的下單功能進行觀察,即,在進行查詢開關的控制時,下單介面也必須要進行控制。
下單功能,常見的業務漏洞:不支援的許可權使用(使用不支援的紅包進行下單)及開關未驗證,庫存或臨界值被擊穿(併發測試),優惠券,積分被擊穿,訂單資訊被篡改(基礎資訊、**等),惡意佔庫存,
取消訂單功能,常見的業務漏洞:併發測試取消庫存
支付功能,常見的業務漏洞:支付金額篡改,付款前取消訂單,先付款再更新訂單金額。支付證書過期案例!
訂單完成功能:常見的業務漏洞,積分、優惠券未送到本訂單的使用者
退貨功能:併發退貨,庫存返回正確,扣減的,積分或優惠券餘額不足
使用者輸入可能涉及到js注入,敏感資訊,生成大量垃圾資料。
1、增加安全處理策略 2、資料脫敏,加簽、加密 3、ip黑白名單 4、安全測試
軟體測試之App測試點 基礎安全測試
1.軟體許可權 1 扣費風險 包括傳送簡訊 撥打 連線網路等 2 隱私洩露風險 包括訪問手機資訊 訪問聯絡人資訊等 4 限制 允許使用手機功能接入網際網路 5 限制 允許使用手機傳送接受資訊功能 6 限制 允許應用程式來註冊自動啟動應用程式 7 限制或使用本地連線 8 限制 允許使用手機拍照或錄音 ...
軟體測試之App測試點 基礎安全測試
1.軟體許可權 1 扣費風險 包括傳送簡訊 撥打 連線網路等 2 隱私洩露風險 包括訪問手機資訊 訪問聯絡人資訊等 4 限制 允許使用手機功能接入網際網路 5 限制 允許使用手機傳送接受資訊功能 6 限制 允許應用程式來註冊自動啟動應用程式 7 限制或使用本地連線 8 限制 允許使用手機拍照或錄音 ...
軟體測試 之 移動端測試 安全性測試
軟體測試 之 移動端測試 安全性測試軟體許可權 1 扣費風險 包括傳送簡訊 撥打 連線網路等 2 隱私洩露風險 包括訪問手機資訊 訪問聯絡人資訊等 4 限制 允許使用手機功能接人網際網路 5 限制 允許使用手機傳送接受資訊功能 6 限制 允許應用程式來註冊自動啟動應用程式 7 限制或使用本地連線 8...