Qu'est-ce que les tests de sécurité ?
Les tests de sécurité visent à fournir la preuve que l'application peut toujours répondre pleinement à ses besoins face à des entrées hostiles et malveillantes.
a. Comment fournir des preuves ? Nous utilisons un ensemble de résultats d’exécution de scénarios de tests de sécurité ayant échoué pour prouver que l’application Web ne répond pas aux exigences de sécurité.
b. Comment voyez-vous la nécessité de tests de sécurité ? Les tests de sécurité dépendent davantage des exigences que les tests fonctionnels, car ils comportent plus d'entrées et de sorties possibles à parcourir.
La véritable sécurité logicielle fait en fait référence à la gestion des risques, c'est-à-dire qu'il suffit de s'assurer que le niveau de sécurité du logiciel répond aux besoins de l'entreprise.
Comment effectuer des tests de sécurité ?
L'ajout de cas de tests de sécurité basés sur des attaques et des vulnérabilités courantes combinées à la pratique réelle permet de transformer les tests de sécurité en une partie simple et commune des tests fonctionnels quotidiens.
Choisissez des valeurs limites spéciales avec des implications de sécurité et des classes d'équivalence spéciales avec des implications de sécurité, et intégrez-les dans nos processus de planification des tests et de stratégie de test.
Mais si les tests de sécurité sont effectués sur la base de tests fonctionnels, un grand nombre de cas de test doivent être ajoutés. Cela signifie que deux choses doivent être faites pour que cela soit gérable : affiner le champ d’application et automatiser les tests.
Quels points de test sont généralement pris en compte dans les tests de sécurité Web ?
1. Problème : saisie non validée
Méthode de test :
Type de données (chaîne, entier, nombre réel, etc.)
Jeu de caractères autorisé
Longueur minimale et maximale
Si une saisie vide est autorisée
Si le paramètre est Il est nécessaire
Si la répétition est autorisée
Plage de valeurs
Valeur spécifique (type d'énumération)
Modèle spécifique (expression régulière)
2 Problème : Contrôle d'accès problématique
Méthode de test :
Principalement utilisé pour les besoins Pour la page qui vérifie l'identité de l'utilisateur. et les autorisations, copiez l'adresse URL de la page. Après avoir fermé la page, vérifiez si vous pouvez accéder directement à l'adresse copiée. Exemple : Vous pouvez voir l'adresse URL dans l'espace entre les liens d'une page à l'autre. vous pouvez voir les informations de la page pour lesquelles vous n'avez pas l'autorisation
4. Débordement de tampon
6. Pas de gestion de configuration sécurisée
Exemple : une page pour vérifier la connexion de l'utilisateur,
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!