网站安全测试过程中的一些经验分享



1.识别技术中有使用价值的数据信息
 
 
很多人都认为这是实施测试后才开始的,但我们的安全测试就是从这里开始的。掌握业务流程以

后,我们必须考虑到系统软件中会有哪些有使用价值的数据信息。它是为下一步添加恶意用户需

求做准备。针对一个网上商城系统,有使用价值的数据信息将会包含商品信息、订单详情、客户

信息、付款,这些。这一阶段对我们测试工程师而言并沒有过多附加的工作中,终究我们做非安

全测试的情况下也必须掌握业务流程。但是要注意了,我们要测试的“上传图片作用”是一个涉及

到有使用价值数据信息的作用。我们必须保持警惕了。

 
 
2.在要求环节添加恶意用户需求
 
 
恶意用户需求是用于纪录恶意客户要想在系统软件中做到的目地。与用户要求的差别是,我们并

不是要去完成它,只是应用它来协助我们杜绝系统对使用人“不适当的信赖”。一般 我们必须对

每一个合理合法用户需求来提升一个或好几个相对性应的恶意用户需求。举个事例,如果我们这

一“上传图片作用”的合理合法用户需求为:做为一个顾客,我觉得在对产品开展点评的情况下上

传照片做为淘宝买家秀,便于于报名参加返利活动营销。那麼相匹配的恶意用户需求能够是:为

一个恶意客户,我觉得毁坏淘宝买家秀返利主题活动,便于毁坏商城系统的活动营销。“毁坏淘

宝买家秀返利主题活动”是一个大的总体目标。以便设计方案用例便捷,它能够被细分化为一系

列个人目标。例如,客户不能上传照片,因此网页不能正确显示信息照片。拥有恶意用户需求的

主干信息内容,我们就可以刚开始下一步设计方案安全接口测试了。
 
 
3.对于“恶意用户需求”设计方案接口测试
 
 
如今我们必须做的是勤奋把自己限定在“恶意客户”的视角做头脑风暴游戏:“究竟有什么方法能

够使顾客没法上传照片信息内容呢?”,“让网页页面没法恰当显示信息淘宝买家秀照片又如何

保证?”嗯,或许最立即的方法便是让网络服务器所属的主机房关闭电源、断开连接这类的。它

是些非常好的念头,尽管实行难度系数有点儿大。没事儿,记下来。此外,我们还能够有别的

接口测试,例如:使储存照片的储存空间被铺满而没法接纳新的图片;使解决上传照片的过程

忙碌而没法接纳新的提交每日任务;提交非常大的图片使客户的手机客户端必须很长期才可以

免费下载完提交装扮成照片的恶意程序,进一步获得网络服务器管理权限,删掉全部的淘宝买

家秀照片。

 
 
这些假如这个时候想起新的接口测试也一样记下来,例如“我觉得不选购也提交淘宝买家秀照片

以得到返利”这类的。无需太担忧这一环节的接口测试太过“疯狂”或是不够详细,终究我们针对

系统软件的完成还并不是很掌握。我们会在接下去的阶段中健全实际的流程。说了这么多的安

全测试经验知识点,想要更多的了解网站安全测试以及app安全测试的服务可以咨询专业的网

站安全公司来解决,推荐国内如下几家安全公司如SINESAFE,绿盟,鹰盾安全,铵太科技。
分享: