测试工程师的分类: 1、功能测试工程师 2、性能测试工程师 3、安全测试工程师 4、自动化测试工程师 5、测试开发工程师 6、高级测试开发工程师 7、测试专家 层次: 第一层:1、功能测试,按需求检测开发产品是否符合需求 第二层:2、3、4,这层的测试人员需要熟悉一些开发工具,开源框架,借助简单的监 ...
分类:
其他好文 时间:
2017-07-29 14:11:26
阅读次数:
148
1:用户权限测试 (1)用户权限的控制 a:用户权限控制主要是对一些有权限控制的功能进行验证; b:用户A进行的操作,用户B能否操作; c:用户A有条件的用户才能查看的页面,用户B能否查看;(是否可以直接输入URL地址进入) (2:)页面权限控制 a:必须有登录权限的页面,能否在未登录的情况下进行访 ...
分类:
Web程序 时间:
2017-07-26 17:43:11
阅读次数:
197
检查是否在本地保存用户密码,无论加密与否 检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密 检查是否将系统文件、配置文件明文保存在外部设备上 部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改 2. 文件权限 检查App所在的目录,其权限必须为不允许其他组成员读写 3 . ...
分类:
移动开发 时间:
2017-07-24 14:45:13
阅读次数:
256
针对安全性测试的工具非常多,慧都小编主要推荐20款,非常实用的安全测试工具,希望能帮到大家。 Babel Enterprise Babel Enterprise 是一款企业级的安全监控平台,可以检查OS安全状态:用户名/密码、内核选项、文件权限、补丁、网络设置、SUID、二进制文件更改等。 BFBT ...
分类:
其他好文 时间:
2017-07-12 15:15:31
阅读次数:
188
后台数据库类型判断:一、通过页面返回的报错信息,一般情况下页面报错会显示是什么数据库类型,在此不多说;二、通过各个数据库特有的数据表来判断:1、mssql数据库http://127.0.0.1/test.php?id=1and(selectcount(*)fromsysobjects)>0and1=12、access数据库http://127.0.0..
分类:
数据库 时间:
2017-07-11 16:36:44
阅读次数:
386
一、打开AppScan,选择外部设备/客户机,点击下一步 二、记录代理设置,可以手动输入需要的端口号,也可以自动选择,记住端口号以及PC电脑的ip地址,手机端如何设置对应的端口跟ip可以参考 Jmeter(十三)用Jmeter自带录制工具代理录制手机端应用脚本APP脚本,原理是一样的 三、SSL证书 ...
分类:
微信 时间:
2017-07-06 12:12:23
阅读次数:
1349
沃通WoSign新证书系统顺利通过德国Cure53白盒子安全测试,并公开发布审计报告总结版。 ...
分类:
其他好文 时间:
2017-07-05 11:39:14
阅读次数:
238
1.NetsparkerCommunityEdition(Windows)这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。2.Websecurify(Windows,Linux,MacOSX)这是个简单易用的开源工具,此程序还有一些人插件支持,可以自动检测网页漏洞。运行后可生成多种格式的检测报告。..
分类:
Web程序 时间:
2017-07-04 23:19:33
阅读次数:
266
具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。 这个报告由AppScan8.6扫描得出,主要分为以下问题类型: 修订建议n Review possible solutions f ...
分类:
其他好文 时间:
2017-07-02 11:35:39
阅读次数:
397
事先声明:只是浅谈,我也之用了这个组件的一点点。 又到某重要XX时期(但愿此文给面临此需求的同仁有所帮助),某Web应用第一次面临安全加固要求,AppScan的安全测试报告还是很清爽的,内容全面,提示建议到位,而且是中午哦,当然有的中文明显狗屁不通。 之前此应用的后端架构相对比较稳固,所以出的重要问 ...
分类:
编程语言 时间:
2017-07-02 11:35:27
阅读次数:
420
