软件测试2019:第五次作业—— 安全测试(含安全测试工具实验)
一、阐述常见的Web安全测试有几种类型?
- 数据加密:某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登录密码、信用卡信息等。
- 登录或身份验证:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登录测试的时候,需要考虑输入的密码是否大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等,并区分公共访问和受限访问,受限访问的资源。
- 输入验证:在进行Web安全性测试时,每个输入域都需要用标准的机制验证,长度、数据类型等符合设定要求,不允许输入JavaScript代码,包括验证从数据库中检索的数据、传递到组件或Web服务的参数等。
- SQL注入:从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取必要的数据库信息,然后基于这些信息,可以注入某些参数,绕过程序的保护,针对数据库服务器进行攻击。
- 超时限制:Web应用系统一般会设定“超时”限制,当用户长时间不做任何操作时,需要重新登录才能打开其他页面。
- 目录:如果Web程序或Web服务器的处理不适当,可以通过简单的URL替换和推测,使整个Web目录暴露出来,带来严重的安全隐患。
- 操作留痕:为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。
二、安全测试工具
1、概述
序号 | 安全测试工具 | 商用OR免费 | 检测对象(二进制/源代码) | 简介 |
1 | Metasploit | 免费 | 源代码 | 为用户提供已知安全漏洞主要信息的计算机安全项目(框架),并且Metasploit帮助指定渗透测试和IDS监测计划、战略以及利用计划 |
2 | Nmap | 免费 | 二进制 | 主机扫描工具,可以进行全面的检查,被用于发现网络和安全审计 |
3 | Paros proxy | 免费 | 源代码 | 基于java的web代理程序,可以评估web应用程序的漏洞 |
4 | Pangolin | 商用 | 源代码 | 利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。 |
5 | w3af | 免费 | 源代码 | 针对Web应用的检测 |
6 | Dsniff | 免费 | 源代码 | 是一个基于unix系统网络嗅探工具 |
7 | Wapiti | 免费 | 源代码 | 扫描指定目标的网页,并寻找脚本和表单来诸如数据,看看是否有漏洞 |
8 | Nikto | 免费 | 源代码 | 旨在发现Web服务器的配置错误,插件和网页漏洞 |
... |
2、安全测试工具试用
安装:
完成安装。
配置环境变量:
打开:
打开时发生错误,应该是杀毒软件隔离删除了部分文件,导致软件功能不完整。
转载于:https://www.cnblogs.com/zpp502/p/10838770.html
软件测试2019:第五次作业—— 安全测试(含安全测试工具实验)相关推荐
- 2019版云计算大数据学习路线图(含大纲+视频+工具+书籍+面...
2019版云计算大数据学习路线图(含大纲+视频+工具+书籍+面- © 播妞 黑马官方管理员 / 2018-3-16 12:00 / 12594 人查看 / 116 人回复 / 12 人收藏 转载请遵从 ...
- 2019 第五周作业
2019春季第五周作业 这个作业属于哪个课程 C语言程序设计ll 这个作业要求在哪里 (https://edu.cnblogs.com/campus/zswxy/software-engineerin ...
- 软件测试2019:第二次作业
Junit是JAVA的一种单元测试方法,是Xunit的一部分,Xunit是一套基于测试驱动开发的测试框架,如果用C++语言,那么测试框架名称就叫做CppUnit,基于C#语言即.NET就称为NUnit ...
- 《软件测试》第五次作业
<构建执法>心得 本学期通过段炫宇老师的推荐与<软件测试>老师陈翠娟的教学,我阅读了<构建之法>. 整本书一开始写的是软件工程的发展史,从开始到应用,所经历的各 ...
- 人工智能实战2019 第五次作业 焦宇恒 16721088
标题 内容 这个作业属于哪个课程 人工智能实战2019 这个作业的要求在哪里 逻辑与非门 这个作业在哪个具体方面帮助我实现目标 神经网络二分类法 逻辑与门训练样本 X1 X2 Y 0 0 0 0 1 ...
- 2019版云计算大数据学习路线图(含大纲+视频+工具+书籍+面试)
新版学习路线图上线,对云计算大数据感兴趣的同学们,赶紧学起来吧! 一.2019新版大数据学习路线图---每阶段能力培养及可掌握的能力 二.2019新版大数据学习路线图---每阶段学习大纲及各阶段知识点 ...
- 《软件测试》第五章 带上眼罩测试软件
<软件测试>第五章 带上眼罩测试软件 5.0 前言 5.1 动态黑盒测试:带上眼罩测试软件 5.2 通过性测试和失效性测试 5.3 等价类划分 5.4 数据测试 5.4.1 边界条件 5. ...
- 软件测试2019:第三次作业
一.单元测试的任务有哪些? 单元测试处于软件测试初期阶段,是对软件基本组成单元进行的测试,而且软件单元是与程序的其他部分相隔离的情况下进行独立的测试: 任务主要包括对单元功能.逻辑控制.数据和安全性等 ...
- 软件测试2019:第四次作业—— 性能测试(含JMeter实验)
题目:性能测试练习, 一.回答下述问题: 1.性能测试有几种类型,它们之间什么关系? 二.使用 JMeter开展性能测试 1. 概述 请搭建并简单配置一个JMeter的性能测试环境,贴上搭建完成后的截 ...
- 软件测试2019:第四次作业
一.性能测试有几种类型,它们之间什么关系? 性能测试是通过自动化的测试工具模拟多种正常.峰值以及异常负载条件来对系统的各项性能指标进行测试,常见的几种性能测试如下: (1)负载测试 负载测试 ...
最新文章
- 小白学python买什么书-小白如何高效率学习python?真心建议(附教程)
- Windows下安装MySQL压缩zip包
- Android Gradle查询器
- spark sql 1.2.0 测试
- 【bzoj4444】[Scoi2015]国旗计划 倍增
- plsql变量参数化_谁说建模一定要会画图?参数化设计让你事半功倍!
- 如何将Web项目的默认编译输出目录改为WebContent/WEB-INF/classe
- 也用C#做个视频监控客户端来玩玩
- 历年计算机二级考试Java真题 JAVA笔试试题及答案(部分套题)
- 计算机c盘垃圾,清理电脑C盘垃圾的小妙招
- BC #38 / HDU5208 Where is Bob · 数位dp
- python三维雷达图_Matplotlib绘制雷达图和三维图的示例代码
- 逆水寒服务器怎么全维护,《逆水寒》2020年1月22日更新公告
- 智能路由器OpenWrt 开发环境 及 编译分析(一)
- OpenSearch 简单学习
- mpvue 搭建整理
- 死亡搁浅系统服务器,《死亡搁浅》车辆获取及制造方法
- 管理日常工作、生活琐事的待办事项提醒工具便签
- 美国iPS细胞治疗癌症最新进展
- 程序访问中什么是临界区