请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

QATNT-促进软件质量领域最佳智慧分享

 找回密码
 立即注册

QQ登录

只需一步,快速开始

倍安康腰椎治疗仪

鸡尾普洱茶

查看: 1363|回复: 0

web安全测试分析第一步

[复制链接]

12

主题

0

好友

3054

积分

管理员

Rank: 9Rank: 9Rank: 9

听众数
0
积分
3054
威望
1000
金钱
37
贡献
1000
精华
1
分享
0
日志
0
记录
0
相册
0
帖子
12
主题
12
好友
0

最佳新人 活跃会员 热心会员 推广达人 宣传达人 灌水之王 突出贡献 优秀版主 荣誉管理 论坛元老

发表于 2013-8-31 14:40:04 |显示全部楼层
     在测试安全等系统级属性时,比较困难的一个方面是完全无法彻底地完成该任务。就安全而言我们的目标是提供不存漏洞的证据,但是,正如你无法证明缺陷存一样,彻底的安全测试在理论上和实际中都是无法实现的。

在做系统级的安全测试,最基本操作就是能观察到潜在的漏洞足以促使你去修复它,也就是说在测试时发现系统警告的标志是迈向加固应用安全的第一步,如果你的测试没有揭示了故障信号,你就可以相应地更加确信自己的软件 安全。故在做系统级安全测试时,发现警示信号是实际漏洞的基础。

针对 web应用层面上的测试,我们首先要做就是通过各种工具观察网页的源HTML源代码,尽管这种方法很简单,但仍然非常值得去做:其原因1,可以帮助你发现最明显的安全问题,原因2.可以为后面的测试建立一个比较基准。对攻击失败之前和之后的源代码进行比较,你就能够调整你的输入,了解到哪些通过了,哪些没有通过,并再次尝试。

使用工具:火狐下的view source chart或者可以用词事本打开 。不过这里推荐view source chart,我们在观察源代码时,最常见的web漏洞涉及到向 web应用提供恶意输入以修改html源代码。在测试这些漏洞时,验证测试通过或失败的最简单的方法就是检查源代码是否被恶意更改。(注:在这里看到的静态源代码不能反映javascript或ajax功能所做的任何更改)

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

关闭

站长推荐上一条 /6 下一条

职业迷茫中的你,不妨打开此锦囊

顶尖企业间软件测试技术大会交流合作
QATNT软件测试训练营

申请友链|质量之巅:做软件测试精华技术的传播者     

GMT+8, 2017-12-15 21:59 , Processed in 0.090340 second(s), 29 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部

倍安康腰椎治疗仪

鸡尾普洱茶