软件测试

收藏 / 订阅

Web安全测试设计,软件测试

  一、流程设计

  需求阶段:

  威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述。

  开发测试阶段:

  安全编码培训==>白盒扫描==>黑盒扫描==>产品发布

  开发过程:概设&详设阶段需要考虑Environmental Safety(环境安全)

  编码阶段需要按照安全编码规范

  产品运营阶段:

  安全响应:

  被动:安全事件响应

  主动:不影响业务的前提下的渗透测试、测试环境下的fuzzing

  二、策略及适用工具

  自动化:

  白盒:

  静态扫描为主;

  黑盒:

  url镜像+漏洞扫描

  例子:用工具(比如wapiti等)扫描,分析并利用(贴出来的url都是以前的,现在已经修复了。这里作为学习的例子,没有不良意图)。

  HTTP会话录制回放(基于业务的)

  在乌云上可以找到大量的通过业务录制回放方法找到的缺陷

  例子:http://www.wooyun.org/bugs/wooyun-2015-0106600

  手工:

  日常渗透

  三、总结

  可借鉴微软SDL

喜欢 (88) or分享 (0)
首页  上一页  12345678910  下一页 尾页 共73条记录 6/10

网友评论:7

  1. 小编 1年前 (2015-03-22) #5

    软件测试入门 :mrgreen:

留言主题 *

您的姓名 *

电子信箱:

电话号码:

请你留言: