❶ 安全測試有哪些類型
安全測試主要包括以下幾種類型:
前端安全測試:
- 數據抓取測試:包括指定內容的抓取和隱藏欄位內容的抓取,例如嘗試修改userid、投資金額等關鍵數據,以及嘗試修改hidden組件和http cookie。
- 參數修改測試:針對URL參數、Referer消息頭等進行修改,觀察系統的響應。同時,嘗試解密或篡改加密數據。
客戶端數據處理安全測試:
- 測試是否減少了不必要的客戶端向伺服器傳輸的數據,並對必要的數據進行了加密處理。
驗證機制安全測試:
- 驗證技術測試:包括基於HTML表單的驗證、多元機制、客戶端SSL證書或智能卡,以及HTTP基本和摘要驗證的有效性。
- 密碼安全性測試:檢查密碼保密性是否足夠強,避免使用空白、太短、常用或與用戶名一致的密碼。同時,測試「記住我」功能是否只記住用戶名。
- 密碼找回與修改邏輯測試:驗證找回密碼和修改密碼功能是否存在邏輯漏洞。
數據存儲區攻擊測試:
- SQL注入測試:通過提交特殊字元或SQL語句,嘗試繞過系統驗證,直接訪問或修改資料庫內容。防禦措施包括輸入內容過濾、參數化查詢和深層防禦。
- NoSQL注入測試:針對使用NoSQL資料庫的應用系統進行類似的注入攻擊測試。
介面安全測試:
- 請求合法性校驗:確保介面只能通過合法請求訪問,如採用token方式。
- 數據校驗:採用白名單方式驗證數據,避免異常數據和注入攻擊。
- 數據加密:對數據進行加密,防止非法監聽或截取。
- 錯誤處理:對系統返回結果編制返回碼,避免泄露堆棧信息。
- 介面閾值:設置介面訪問頻率閾值,防止惡意攻擊。
後端組件安全測試:
- 測試後端組件是否存在注入操作系統命令、OS命令注入漏洞、路徑遍歷漏洞和腳本注入漏洞等安全隱患。
這些安全測試類型共同構成了全面的安全測試體系,旨在確保應用系統的安全性和穩定性。