(web应用程序测试),属IBM公司
执行动态应用程序的安全测试(==DAST==)交互式应用程序的安全测试(==iAST==)支付卡行业的数据标准(==PCI DSS==),支付应用程序数据安全标准(==PA DSS==)
特点比较,常规测试是在现有软件中寻找缺陷的过程,偏进行时,安全主要是防患
常见隐患:XSS(css)跨站脚本攻击,CSRF伪造请求攻击,URL跳转,点击劫持,SQL注入, 命令注入,文件操作漏洞,远程命令被执行
- 测试前配置准备策略选择,根据需求来选择
- 无登录页面实例
- 测试URL、环境配置
- 策略内容并确认是否log
- 扫描
- 输出安全报告
- 有授权(==完整==)的实例
- 配置登录 –> 录制
- 主要定位缺陷方式
- 阅读log
- web开发者模式查看响应异常
- 用接口工具查看前后端响应发现问题