1,简短说明
1,什么是白盒测试?
白盒测试又称结构测试,透明盒测试,逻辑驱动测试或基于代码的测试
“白盒”法全面了解程序内部逻辑结构,对所有逻辑路径进行测试
“白盒”法是穷举路径测试
2,什么是黑盒测试?
功能测试,着眼于程序外部结构,不考虑内部逻辑结构
主要针对软件界面和功能进行测试
2,常见安全测试问题
1,白盒【常用测试工具:HP-Fortify】
1-1,Password Management【连接加密:如数据库连接、redis连接加密】
1-2,Often Misused:File Upload【前后台都要判断上传文件的大小和类型】
1-3,Unreleased Resource:Files【关闭流】
1-4,Unreleased Resource:Streams【关闭流】
1-5,Portability Flaw:File Separator【盘符问题】
1-6,Path Manipulation【路径特殊字符处理】
1-7,SQL Injection:Mybatis Mapper【$符号改#】
2,黑盒【常用测试工具:AppScan、Fiddler】
2-1,SQL注入【过滤特殊字符】
2-2,XSS攻击(跨站点脚本编制)【过滤特殊字符】XSS攻击参考链接
2-3,CRFS攻击(跨站点请求伪造)【token令牌】
2-4,RA攻击(重发攻击)【时间戳+验证码】防重放攻击链接
2-5,登录信息加密(账户名和密码)、二次验证(防篡改)、登录次数限制(加锁)
2-6,系统信息泄露【默认端口、指定404页面等】
2-7,服务器对外开放端口限制
3,参考链接
https://baike.baidu.com/item/%E7%99%BD%E7%9B%92%E6%B5%8B%E8%AF%95/934440?fr=aladdin
https://baike.baidu.com/item/%E9%BB%91%E7%9B%92%E6%B5%8B%E8%AF%95/934030?fr=aladdin
https://www.zhihu.com/question/24345678
https://blog.csdn.net/baidu_24024601/article/details/51957270
https://blog.csdn.net/xkweiguang/article/details/52945831