@Luminary
2年前 提问
1个回答
为什么要做安全测试
上官雨宝
2年前
做安全测试原因如下:
安全:一个产品一个网站最需要加强安全防范的就是数据库。那么如果缺少了安全性测试,在高手的sql盲注下,你的数据库就会逐步展现在黑客的面前,无论是数据库类型、表结构、字段名或是详细的用户信息,都有无数种手段可以让人“一览无余”。
权限:网站一般都规定了什么样的用户可以做什么事。比如版主可以修改所有人的帖子,而你普通用户只能编辑自己的帖子,同样游客只能看大家的帖子。这就是简单的权限。如果少了安全性保证,那么就容易有人跳出权限做他不该做的事情。
修改提交数据信息:比如一个支付商城,如果通过抓包抓到的提交价格,经过修改再发包可以通过。简单来说就是本来100块钱买的东西,抓包修改为1块就能成功购买。这就成为了一个巨大的隐患。
类似跨站脚本的安全隐患:HTML注入,所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。做坏事,如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。诱捕受害者,可能会redirect到另一个钓鱼网站之类的,使其蒙受损失。
检查应用程序对非法侵入的防范能力:根据安全指标不同测试策略也不同,如果遵循相同的原则,去证明软件的安全性,将有利于软件安全测试的工作规范的进行,有利于软件安全测试工作的发展。