多测师

软件测试之多测师带你了解手工安全测试

测试做安全一般是做手工安全测试：

1、sql 注入

2、xss 跨站点脚本攻击

3、跨目录访问

4、用户权限访问控制

1、sql 注入

基本原理：一般sql 注入是在前台，有时后台也有，改变sql 语句的正常写法，但是又能骗

过代码，

select password from 表名 where name='zhangsan'; 改成

select password from 表名 where name='zhangsan' or 1=1;

2、xss 跨站点脚本攻击

很多文本框的时候，每个文本框只要http://www.foo.com/xss/reflect.php?x=

<script>alert(1)</script> 则alert()函数会在浏览器触发。

只要在文本框中输入脚本，点击执行按钮，报错就可以提严重bug

脚本有很多，可以百度

3、跨目录访问

普通用户登录后台可以登录成功

4、用户权限访问控制

任何系统都有权限配置管理，通过测试权限的组合是否符合需求，不符合则不符合安全规定

常见的安全工具：

业界常用的代码漏洞扫描工具：fortyfy、webinspect （向国外申请并购买，小公司一般 不会用）

常见的加密算法：

rsa（非对称加密算法）

aes（对称加密算法）

base： BASE64转码 图片会经过这个进行转码

md5：信息摘要算法

md5：a和b之间传输文件，这个文件不是特别重要，但是我们希望在传输过程不会被人修改， 在linux里通过指令生成一个32位的字符串，然后检验文件传输过程有没有被修改，只要把字符串给另外一个人，对比他收到的文件的32位字符串，如果不一样则被修改了

rsa：公钥和私钥，公钥可以去锁文件，私钥只能解对应公钥处理过的文件

web安全测试方法：

工具扫描

目前web安全扫描器针对OSinjection， XSS、SQL injection 、OPEN redirect 、

PHP File Include漏洞的检测技术已经比较成熟。

商业软件web安全扫描器：有IBM Rational Appscan、WebInspect、Acunetix WVS 、 burp suite 免费的扫描器：W3af 、Skipfish 等

根据业务资金，可以考虑购买商业扫描软件，也可以使用免费的，各有各的好处。

首页可以对网站进行大规模的扫描操作，工具扫描确认没有漏洞或者漏洞已经修复后，再进 行以下手工检测。

加密算法：（常见的加密算法可以分成三类，对称加密算法，非对称加密算法和Hash算法。

https://www.cnblogs.com/colife/p/5566789.html

常见的对称加密算法：DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES指加密和

解密使用相同密钥的加密算法。对称加密算法的优点在于加解密的高速度和使用长密钥时的

难破解性。

见的非对称加密算法：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字 签名用）

指加密和解密使用不同密钥的加密算法，也称为公私钥加密。

Hash算法特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特

定长度的唯一的Hash值，却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不

可还原的密码存储、信息完整性校验等。

常见的Hash算法：MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1

如需了解更多测试技术信息请关注：http://www.duoceshi.cn/ 深圳市多测师信息技术有限公司