“
什么是安全测试?为什么要做安全测试?安全测试与功能测试之间有何联系? ”
今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。
这些漏洞一旦被不怀好意者利用,很可能会给企业造成经济损失,带来负面声誉影响的同时,还可能被起诉遭到罚款等等,细思极恐。其中的一部分原因是企业本身安全意识不强,但是很多时候虽然软件企业已经开始意识到这些问题,却苦于缺少专业的安全测试人员,他们不得不冒着极大的风险先上线赌一把运气再说。
既然如此,我们测试人员作为质量代言人怎能对此置之不理呢?
你也许会抱怨,安全测试水太深了,不知道从何下手。
我非常有幸能够在项目上跟“神秘的安全测试人员”学习如何进行安全测试,发现“神秘的安全测试人员”不光是名字跟我们一样都有“测试”二字,所做的事情在本质上也是跟我们测试人员有很多相通。
在这里我想要跟大家分享一下在功能测试中如何利用我们的测试经验开展安全测试。
一、安全测试需要你转换视角
刚开始接触安全测试,我很深的体会到了这一点。当时我在测试一个 Web 应用的用户登录功能。当我输入错误的用户名来试着登陆时,浏览器上的提示信息为“用户不存在”。
当我尝试正确的用户名而错误的密码时,提示信息变成“密码错误。”
对于这个清晰的错误提示我非常满意。试想我若是一个真实的终端用户,这个信息有效的帮助我缩小我所要纠错的范围,提高效率,非常好。可是,就在我身边坐着的安全测试人员马上跳了出来:“这个提示信息需要改!敏感信息暴露了!”
看着我一脸茫然,这位安全测试人员告诉我,通过我们的提示信息,恶意的系统使用者可以推测出哪些用户名已经存在于系统中,当你用户名是自增的,那就更容易遍历出来了。然后利用这些用户名可以再进行密码的暴力破解,缩小破解的范围。
所以,这个信息虽然为合法用户提供了便利,也为不怀好意的系统使用者提供了便利。而往往这种便利为恶意的系统使用者带来的好处远大于给合法用户带来的好处。这个经历让我受震动的同时,也意识到以前可能很多安全漏洞已经摆在我的面前,我却没有看出来,因为我把它们过滤了。
二、改变测试中模拟的对象
我们在做非安全测试的时候通常把自己想象成一个合法用户,然后开始验证系统是否能完成预设的目标。
比如对于一个网上商城,我们会验证系统是否能让用户完成商品的浏览与购买,我们也会测试一些异常的行为,比如购买的商品数量不是数字而是一串无意义的字母时,目的是看系统是否能比较优雅的做出回应。
我们这么测试的目的往往是为了确保用户误操作以后还能够继续他们的购买,或者说不要给系统造成什么严重的伤害。
如果要做安全测试,我们则必须去模拟系统的另一类使用者-恶意用户。他们的目的是为了寻找系统中可钻的漏洞。比如同样是一个网上商城,恶意用户的目标之一就是要想办法以较少的钱,甚至不付钱就能拿到商品。
例子:修改接口数据,低价购买高价商品例子中通过输入负数数量,进行低价购买。可见测试中校验前端异常数据时,也需要验证后端是否也有做校验。
这个工具即下文提到的burpsuite,可在公众号回复“安全测试工具”获取所以,我们转换我们测试时所模拟的对象,把思维从一个合法用户的视角中拉出来,转换成一个恶意用户。
第三,使用专用的测试工具 有了思维的转换,我们可以加入新的测试想法。但是,在具体做安全测试的时候我们会发现并不是那么容易去模拟恶意用户的行为。毕竟系统的前端会给我们很多的屏障。而且恶意用户可不总都是从系统前门进去的。这时候,使用一些工具,比如OWASP Zap(https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project )、Burp(https://portswigger.net/burp/ ) 等是非常有帮助的。我们可以在系统界面上执行功能测试的用例,用这些工具来获取 http 请求,篡改后发送给后台服务器。甚至扫描出可能会被利用的漏洞再进行验证。有了这些实用又比较容易上手的工具,我们就可以执行很多恶意用户的操作场景了。
第四,了解一些常见的漏洞、安全事件、需要关注的测试点
这里是一些资料、资讯:OWASP Top 10 最严重的Web 应用程序安全风险拼多多过期优惠券被利用,用户可领取100元无门槛优惠券
58同城简历泄露事件一个逻辑漏洞移动app安全测试关注点
功能测试中可以关注的模块:
登录、注册模块
忘记密码
文件上传下载修改密码
编辑、发布
支付相关
url
等。
关注的点:
数据库安全:身份验证、验证码、会话管理、权限管理、敏感信息传输、安全审计、信息泄露、输入校验、输出编码、上传下载、异常处理、注释代码等接口:接口接受的数据需要做严格的处理、接口数据严格校验测试
篇幅过长,更多详细待续
burpsuite工具 常用功能(抓包改包、重放、爆破、漏洞扫描等)可在公众号回复“安全测试工具”获取
公众号: