新项目准备考虑一些安全测试,求教各位大佬一些普通的安全测试应该怎么去入手,怎么个介入方式,以前完全没有接触过,百度了一上午也没有什么收获。
不知道你这个安全测试的目的是啥,可以先说明下?这样才好划定范围给建议。安全的范畴很大的。
大部分专业的 web 端安全测试,大多是在做渗透测试,这块要求的技能比较多,一般得专业安全测试工程师才能做得来。测试工程师一般能做的,也就只是针对最常见的漏洞进行挖掘和测试,以及用一些第三方的安全扫描工具扫描下。比如 https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html 里面提到的各种常见漏洞。
以前安全还有个 OWASP 组织,定期采集高危安全漏洞,并出一些报告和安全标准的,好像最近几年没怎么见到新消息。官网倒是有些可以参考的资料 http://www.owasp.org.cn/OWASP-CHINA/owasp-project/
嗯嗯,好的。我也不是专业的,主要就是项目在完成时会进行一些漏洞扫描什么的,像平常的一些 sql 注入,xss 攻击的的,都要去测试下,也要去学,再深的话可能就技术达不到了。主要就是用一些漏洞扫描工具去测试。您的建议很有用,谢谢。
曾经在企业里作为乙方对内部的网站系统搞过 4 个多月的渗透测试(或者叫安全测试更合理,因为不够专业),简单分享一下如何入门:
好的,谢谢您的建议。因为现在网上很多知识都太凌乱了,足是足,但许多都是盲目的看,连接不到一块去。从 0 基础开始学吧,谢谢您
https://blog.csdn.net/Python_BT/article/details/111247292?spm=1001.2014.3001.5501 在上家公司接触到的一些知识希望对你有帮助,当时是网安检测出来的,和他们学了下手段