是指基于漏洞数据库,通过扫描工具等手段对指定的远程或者本地计算机信息系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测的行为,以提升软件质量为目的。
OWASP-TOP10
OWASP是 open web application security project 的缩写。这个系列主要介绍这十个最多被攻击的安全漏洞。
1.注入攻击 (Injection)
2.无效身份认证(Broken Authentication)
3.敏感信息泄漏(Sensitive Data Exposure)
4.XML外部处理器漏洞(XML External Entities (XXE))
5.无效存取控管(Broken Access Control)
6.错误设置安全系统(Security Misconfiguration)
7.跨站攻击(Cross-Site Scripting (XSS))
8.不安全的反序列化漏洞(Insecure Deserialization)
9.使用已有漏洞元件(Using Components with Known Vulnerabilities)
10.日志和监控不足风险(Insufficient Logging and Monitoring)
测试流程
1、 需求评估
提供被测件操作手册或者访问地址并提供测试申请表。
2、 签订合同
确认测试申请表、达成合作意向、签订合同
3、 测试沟通
确认测试方案、用例设计、资源环境
4、 测试准备
准备测试需求环境、软硬件资源配置、人员协调
5、 执行测试
配合测试、缺陷问题提交、测试记录、回归测试
6、 报告确认
出具报告初稿、修改报告、确认报告
7、 交付
完成付款、交付正式报告