安全测试学习笔记-安全测试面面观
五一期间学习了钉钉的网络课程-安全测试的相关课程,将自己学习的笔记整理分享给大家,既是分享也是对自己学习笔记的整理和复习,一石三鸟。
信息安全
- 机密性(confidentiality):指只有授权用户可以获取信息。
- 完整性(integrity):指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。
- 可用性(availability):指合法用户对信息和资源的使用不会被不正当的拒绝。
访问控制:控制访问信息资源如何被访问,来防止资源未授权修改或泄漏
- 身份识别2.身份验证3.授权(数据分级)4.可问责
漏洞和安全测试
漏洞:是指硬件、软件、协议的具体实现或系统安全策略上存在缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
安全测试:以找到业务系统自身存在的可利用的漏洞为目标,在约束的测试路径与测试范围内,采用自动化以及手工测试方法相结合的方式,对目标的进行脆弱性分析,尝试找出尽可能多的漏洞,并交付最终的测试报告
如何做安全测试
Web安全测试:①测试依据:信息安全规范。②测试维度:web系统、部署应用系统、数据库服务器的对外服务通信联路当中的安全性等。③测试思路:信息收集、目标踩点、漏洞测试、漏洞利用、权限维持。
移动app安全测试
Web安全测试:①测试依据:信息安全规范。②测试维度:web系统、部署应用系统、数据库服务器的对外服务通信联路当中的安全性等。③测试思路:信息收集、目标踩点、漏洞测试、漏洞利用、权限维持。
app安全测试:①测试依据:信息安全规范。②测试维度:app客户端、部署app应用系统、数据库服务器的对外服务通信联路当中的安全性等。③测试思路:客户端逆向安全分析,接口与服务器安全测试,利用漏洞,权限维持。
PC安全测试:①测试依据:信息安全规范。②测试维度:内存安全测试,注册表安全测试。DLL劫持。加壳静态③测试思路:本地客户端中内存与注册表安全测试,接口与服务器安全测试漏洞,权限维持。
IOT:①测试依据:信息安全规范。②测试维度:串口/调试接口安全、固件逆向安全分析、内存安全分析。③测试思路:串口/调试口/IC提取固件文件,模拟器运行固件检查内存。
车联网安全测试:①测试依据:信息安全规范。②测试维度:IVI安全分析,T-BOX安全分析,OTA安全分析③测试思路:通过对智能网联汽车各部分的独立安全测试。结合智能网联汽车实际运行场景,尝试摸你远程实际入侵过程。
无线电安全测试:①测试依据:暂无②测试维度:信号劫持、数据监听与篡改、信号重放、信号欺骗433Mhz、ZigBee、BLE、RFID等③测试思路:通过中间人手段获取制定波段信号,修改/重放信号是否能通过分析发射设备构造正确信号内容,模拟发送信号执行操作。
安全测试类型
传统安全测试:目标确定且单一,常为APP、web、接口、一定数量服务器以发现漏洞为主,进行危害证明—点到为止
复杂安全测试(蓝军/红队服务):以业务信息系统为单位,长以企业不同部门使用的业务系统授权沟通à脆弱性预测→漏洞发现→漏洞利用→权限提升
特殊安全测试(APT):以企业核心资产为渗透目标,攻击途径不限制,攻击开始前无通知,全面检测系统踩点查点→社工/鱼叉/水坑攻击设计→载荷制作和投递→后门执行→横向渗透→权限提升→权限维持→完成渗透
第一阶段:应用业务场景分析:确认核心业务模式、确认核心受众群体、确认业务核心盈利点
第二阶段:应用功能分析:确认功能正确使用方法、确认不同类型应用的核心功能、协调安全测试所需各方资源
第三阶段:建立威胁模型:依据功能判断可能的安全威胁,重点关注与金钱、核心数据有关的安全威胁,编制安全测试用例
第四阶段:执行安全测试;相关人员告知与授权,尽量减少垃圾数据的输入、保留测试电子记录并汇总漏洞。
逆向思维
一、服务端安全:
应用程序未授权访问;服务器敏感文件泄漏;远程命令/代码执行攻击;管理类应用服务弱口令
二、通信链路安全
敏感数据机密性保护的缺失;重要数据完整性保护的缺失;https证书安全校验的缺失;
三、客户端安全
应用代码逆向;敏感信息明文存储;组件拒绝服务;不安全的加密算法
四、业务安全
水平/垂直越权;身份验证功能的风险;资金交易过程中的篡改和伪造
Web安全测试维度
恶意注入:sql注入攻击、xml实体注入攻击、xss跨站脚本攻击
敏感信息泄露:数据库和备份文件泄漏、git/svn源码泄漏、配置文件泄露
安全配置错误:敏感信息明文传输、应用程序未授权访问、心脏出血、系统弱口令
失效的访问控制:任意文件上传和下载、商品/订单/用户id篡改、金额数据篡改、验证码安全缺陷、竞争条件
安全测试进阶及发展方向
基础知识铺垫:TCP/IP网络模型及各层次基础知识;OWASP-WEB与Mobie top10漏洞相关基础知识;密码学pki/ca等基础知识
自动化工具发现大部分问题:安全测试信息收集工具;安全测试漏洞扫描工具;安全测试抓包改包工具;安全测试漏洞利用工具;安全测试逆向脱壳工具
手工验证问题、业务缺陷探索
关注漏洞更新、及时调整姿势:关注行业高危漏洞及修复方案;关注业内安全测试工具
作为一名刚刚入职的小白,还有很多没有学到的知识,如果在文章中出现错误,欢迎大家指正。我的邮箱[email protected]