新手区 [求助] 针对 web 端得安全测试

韩冰Preey · 2021年10月15日 · 最后由 Time 回复于 2021年11月08日 · 3741 次阅读

新项目准备考虑一些安全测试,求教各位大佬一些普通的安全测试应该怎么去入手,怎么个介入方式,以前完全没有接触过,百度了一上午也没有什么收获。

共收到 5 条回复 时间 点赞

不知道你这个安全测试的目的是啥,可以先说明下?这样才好划定范围给建议。安全的范畴很大的。

大部分专业的 web 端安全测试,大多是在做渗透测试,这块要求的技能比较多,一般得专业安全测试工程师才能做得来。测试工程师一般能做的,也就只是针对最常见的漏洞进行挖掘和测试,以及用一些第三方的安全扫描工具扫描下。比如 https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html 里面提到的各种常见漏洞。

以前安全还有个 OWASP 组织,定期采集高危安全漏洞,并出一些报告和安全标准的,好像最近几年没怎么见到新消息。官网倒是有些可以参考的资料 http://www.owasp.org.cn/OWASP-CHINA/owasp-project/

嗯嗯,好的。我也不是专业的,主要就是项目在完成时会进行一些漏洞扫描什么的,像平常的一些 sql 注入,xss 攻击的的,都要去测试下,也要去学,再深的话可能就技术达不到了。主要就是用一些漏洞扫描工具去测试。您的建议很有用,谢谢。

曾经在企业里作为乙方对内部的网站系统搞过 4 个多月的渗透测试(或者叫安全测试更合理,因为不够专业),简单分享一下如何入门:

  1. OWASP 一定要看,每年都会有 OWASP 出台的 top10 安全风险,这些是说明安全问题重要性的重要依据
  2. 安全细分方向十分多,我猜楼主应该是问 web 方向(其他方向我也不懂,太深),先了解常用工具,burpsuite、owasp zap、sqlmap 等,要自行采集,网上一搜很多博客、github 也一吨开源工具
  3. 理解基本安全概念和安全漏洞类型,一定要理解,不然永远都是 script kiddie,鄙视链最底端,以下是部分列举:sql 注入、XSS、CSRF、水平与垂直越权、敏感信息泄露、命令注入、路径遍历、文件上传…… 理解这些安全漏洞的典型成因(如何写这些漏洞出来)以及带来的危害(怎么用这些漏洞搞事情)
  4. 找地方实战,建议本地搭建开源的环境进行训练OWASP juice shop
  5. 往下就是各种实战去精进技巧和意识,加深对各类测试工具和漏洞的理解,做更多白盒审计来挖掘漏洞,学习更多安全领域技术,不断变强……(我本人到第 4 步就没再往下了)

好的,谢谢您的建议。因为现在网上很多知识都太凌乱了,足是足,但许多都是盲目的看,连接不到一块去。从 0 基础开始学吧,谢谢您

https://blog.csdn.net/Python_BT/article/details/111247292?spm=1001.2014.3001.5501 在上家公司接触到的一些知识希望对你有帮助,当时是网安检测出来的,和他们学了下手段😂

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册