功能安全测试&安全渗透测试，一文讲清楚

本文我们将以围绕系统安全质量提升为目的，讲述在功能安全测试&安全渗透测试上实践过程。
希望通过此篇文章，帮助大家更深入、透彻地了解安全测试。
安全渗透测试实践
安全前置扫描主要是辨认白盒漏洞、黑盒漏洞问题，针对JSRC类问题，必要通过渗透测试举行漏洞发现。
安全测试种别
安全测试根据开展的阶段差异，测试对象差异，可以分为：功能安全测试、安全渗透测试。
以下是两者界说、两者的区别：

具体内容：

• 功能安全测试
  

在功能测试阶段举行，由各业务线测试工程师举行，主要包括以下几个方面：
1、职员权限设置，是否满意需求文档中的阐明：
1）是否初始化好所有的角色；
2）每个角色是否按最小权限举行功能配置。
2、权限测试：程度越权、垂直越权、交错越权。
3、敏感信息处置惩罚是否符合规范：
1）加密存储；
2）表现屏蔽；
3）脱敏导出；
4）操纵安整日志记录。

• 安全渗透测试
  

功能安全测试

• 开展功能安全测试
  

Step1：确定项目是否必要安全评审
参考标准（来源安全部）：

• 公司重点战略项目；
  
• 外网新系统；
  
• 大量外部职员使用的内网系统（发起15人以上）；
  
• 含重大商业机密，特殊敏感性的系统；
  
• 新采购的乙方项目或外包项目；
  
• 上面几类系统在重大升级时。
  

Step2：依托SDL流程开展安全测试
Step3：测试阶段的功能安全测试
安全用例设计->测试执行->漏洞陈诉。
Step4：上线前的提交渗透测试

• 功能安全在项目中开展
  

SDL测试阶段开展功能安全测试：
1）确定测试方案：功能安全测试、安全渗透测试、代码白盒扫描、应用黑盒扫描；
2）安全用例设计；
3）功能安全用例：基于功能点，从权限控制、越权类、数据类 维度举行用例设计。
SDL上线条件交安全渗透测试。
安全渗透测试

• 开展渗透测试
  

Step1:使用测试工具

• BurpSuite安装；
  
• 欣赏器署理配置：
  

• BurpSuite -Proxy监听配置：
  

• BurpSuite使用，欣赏器启用Proxy举行署理，通过BurpSuite举行数据抓取：
  

• Proxy-Repeater举行请求包的重发；
  
• Proxy-Intruder举行暴力爆破：选定变量参数--参数化--批量重发请求--结果获取分析。
  

Step2：测试执行
Step3：整理陈诉

• 常见漏洞测试
  

权限绕过
界说：指权限控制功能不严谨，系统用户可以访问或者操纵未授权的功能或者数据。
程度越权场景：当系统存在多个雷同权限的用户时，A用户越权访问或操纵到B用户的资源。
垂直越权场景：当系统存在差异权限的用户时，低权限用户越权访问或操纵到高权限用户的资源。
未授权访问：用户在没有通过认证授权的情况下可以或许直接访问必要通过认证才能访问的页面或者信息。
SSRF（服务端请求伪造）
界说：由攻击者构造请求，由服务端发起请求的安全漏洞，SSRF攻击的目的是外网无法访问的内部系统（正因为请求是服务端发起的，所以服务端能请求到与自身相连而与外网隔离的内部系统）。
存储XSS漏洞
界说：跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术，是代码注入的一种。允许恶意用户将代码注入网页，其他用户在欣赏网页时会受到影响。恶意用户利用XSS代码攻击乐成后，很可能得到很高的权限。
XSS分为：反射型，存储型，DOM型。
总结
本文主要讲述了功能安全测试&安全渗透测试 的界说、区别、开展方案，以及实践举例。
这两中安全测试既可在项目开展SDL流程的过程中开展，同时也可将安全渗透测试单独拿出来，针对组表里网系统，专项举行渗透测试。
通过如许的测试，可以降低遗漏到JSRC外部白帽问题数。
 感谢每一个认真阅读我文章的人！！！
作为一位过来人也是希望大家少走一些弯路，如果你不想再体验一次学习时找不到资料，没人解答问题，坚持几天便放弃的感受的话，在这里我给大家分享一些自动化测试的学习资源，希望能给你前进的路上带来帮助。

软件测试面试文档

我们学习必然是为了找到高薪的工作，下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料，并且有字节大佬给出了权势巨子的解答，刷完这一套面试资料相信大家都能找到满意的工作。

 

          视频文档获取方式：
这份文档和视频资料，对于想从事【软件测试】的朋友来说应该是最全面最完备的备战堆栈，这个堆栈也陪同我走过了最艰巨的路程，希望也能帮助到你！以上均可以分享，点下方小卡片即可自行领取。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。