安全测试

1.定义:
  对软件产品进行测试,以确保其符合产品安全需求和质量标准
2.渗透测试:
  通过模拟对软件系统的恶意攻击行为来评估系统安全性的一种测试
3.渗透测试VS安全测试

渗透测试   安全测试  
攻击   防御  
   

4.OWASP:
  定义:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
  top 10:
  (1)sql注入
  (2)会话劫持
  (3)跨站脚本
  (4)变更用户
  (5)框架安全配置类
  (6)信息泄露
  (7)访问缺陷
  (8)CSRF伪造
  (9)业界公布
  (10)重定向构造
5.安全测试工具:学习网站
  ·AppScan:是对网站等 Web 应用进行安全攻击来检查网站是否存在安全漏洞->
  ·Webinspect:是识别扫描程序检测不到的安全漏洞。
  ·Nessus:是一个顶级的漏洞扫描程序,利用它可以获得被扫描计算机的 ping 响应时间、主机名称、计算机名称、工作组、登录用户名、MAC地址、TTL、NetBios 信息等,您也可以指定扫描端口,查看目标计算机开放端口的情况。
  ·NMap:也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。
  ·Metasploit:是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。
  ·WebScarab:是一款代理软件,简介是HTTP代理,网络爬行、网络蜘蛛,可以使用来查看post数据。
  ·Fortify SCA :是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
  ·W3AF:是一个Web应用安全的攻击、审计(分析)平台,通过增加插件来对功能进行扩展,这是一款用python写的工具,支持GUI,也支持命令行模式

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zydpgx.html