web应用测试的具体流程(等保测评相关)
一、与用户仔细交流意见,询问一下哪些操作可以做,哪些操作不能做,避免进行应用测试时损坏生产数据(测试环境除外)
二、询问客户需要测的应用的管理员(系统管理员、审计管理员等)和普通用户的测试账号。
三、开始测试web应用
1.我们登录看看应用具体有哪些模块
2.模块下的功能性按钮(比如:新增-附件处-上传等)
3.测试管理员和普通用户是否具有越权行为,又或者是普通用户越权查看管理人员才成查看到的模块
4.测试web应用是否有目录遍历的漏洞(这里我们用burpsuite,加上自己写的一些敏感的目录信息)
5.测试查询处等利于SQL注入的地方是否拥有sql注入漏洞(可以手工也可以使用sqlmap工具)
6.测试添加信息处是否存在xss漏洞(比如:存储型xss、DOM型xss、反射型xss等)
7.使用burpsuite,拦截web登录信息,看看是否有明文的鉴别信息或者采用MD5等不安全的加密算法。
8.测试是否有未授权下载,使用burpsuite,拦截文件下载信息,发送到repeater,删除cookie等信息,看看是否还是能下载。
9.询问客户询问类的信息,比如定时更换口令、登录失败处理等功能。
10.测试是否存在永久cookie和token等。
四、反馈给客户问题列表
五、客户整改完后,复测,出具报告等。
web应用测试的具体流程(等保测评相关)相关推荐
- 22.扩展.等保测评相关实务
1. 等保1.0 到等保2.0 等保1.0的概念:以1994年国务院颁布的147号令<计算机信息系统安全保护条例>为指导标准,以2008年发布的<GB/T22239-2008 信息安 ...
- oracle的等保,Oracle等保测评相关指令
Oracle用户管理: SQL*Plus create user 用户名 identified by 密码; //创建用户 grant 权限(dba=管理员,resource=普通用户,connect ...
- oracle数据库等保测评命令,Oracle等保测评相关指令
Oracle用户管理: SQL*Plus create user 用户名 identified by 密码; //创建用户 grant 权限(dba=管理员,resource=普通用户,connect ...
- 等保测评相关最新标准(截至2021.6)
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南 GB/T 25058-2019 信息安全技术 网络安全等 ...
- 等保测评--网络安全等级保护测评过程指南
GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南 范围 适用于测评机构.定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工 ...
- 等保测评一体机是什么?由哪些安全模板组成?
先前我们一直在讨论等保测评相关内容,很多企业的业务是部署在公有云上,公有云已经通过了等保测评工作,所以部署安全产品和测评工作相对来说比较简单.但也不发一些企业的业务是部署在线下机房的,很多线下机房都没 ...
- 等保测评的堡垒机是什么?有什么功能?
等保测评最近频频被大家提起,尤其是一些物流.教育.金融等被行业监管要求做等保测评相关工作.等保的安全产品有web应用防火墙.主机安全.堡垒机.数据库审计.云防火墙.SSL证书管理,每一项安全产品都是等 ...
- 从事网络安全等保测评 这个证大学生也可以考
雨笋君近期收到不少咨询等保测评师考试认证的问题.转行者想要通过掌握等保测评相关技能进入网络安全行业,让自身能力提升一个台阶,物质上也能加薪:网安相关企业为了开拓等保测评业务申请等保测评机构资质认证,要 ...
- Web渗透测试基本流程
对于web应用的渗透测试,大致可分为三个阶段:信息收集.漏洞发现以及漏洞利用.在实践过程中需要进一步明细测试的流程,以下通过9个阶段来描述渗透测试的整个流程: 1.明确目标 1)确定范围:测试的范围, ...
最新文章
- 基于Erlang语言的视频相似推荐系统 | 深度
- 大数据测试之初识Hadoop2
- msf与cs互相传动
- Java中可怕的双重检查锁定成语
- Windows下查看wifi密码的命令
- (转)HTTP 长连接和短连接
- 超好用Web草图工具Balsamiq Mockups
- arm-linux-gcc 裸机程序,Linux下ARM裸机开发-交叉工具链
- 动态路由之OSPF协议综合实验
- (转)Palantir: 神秘的大数据公司
- mysql数据类型及占用字节数
- ISO50001认证咨询,新版标准更加强调持续改进能源绩效主要体现在以下方面
- Redis客户端工具 支持使用Redis命令行和集群
- 5V转24V差分信号转TTL电平脉冲信号隔离变送器
- 网络攻防“三剑客”正式加盟墨者安全 担任首席安全顾问...
- 全国高校恋爱关系图谱:北大受宠爱,浙大最孤独
- C#windows竞赛管理系统
- LSA(潜在语义分析)
- 植物大战僵尸之加钱外挂..
- 网友说:数据分析师是青春饭,年龄影响很大