首页 文章 问答 51讲堂 活动
写文章 提问题 登录 | 注册
  • 15
  • 15
分享
  • 工具升级:安全测试流程优化了解一下!——软件测试圈
  • 曼倩诙谐 2021-09-23 09:27:52 字数 816 阅读 905 收藏 15
    测试技术

  近年来,随着国际形势和网络空间环境日趋复杂,各方面对网络安全重视程度日益提升,网络安全也已纳入了国家战略。在此背景下,系统的安全测试与防护就显得越来越重要,项目组在进行基于owasp zap工具进行安全扫描过程中,对工具的使用及扫描流程进行了深入分析,对常规扫描方式进行了优化。

  zap提供了强大的路径爬虫及漏洞扫描功能,常规方式下,可以通过配置代理来录制前台页面,点击系统页面功能后抓取网站路径,再通过“爬行”、“强制浏览目录”等功能进行路径的分析与扩展,最后通过“主动扫描”功能进行漏洞扫描,生成漏扫报告。但这种方式抓取到的网站路径并不能保证是系统的全量路径,也就可能会导致扫描结果不详尽。

  我们的优化思路是利用工具脚本将系统全量路径整理出来,并批量导入到zap工具当中,再进行漏扫分析,这种方式得到的扫描结果就更全面。下面描述常见的.net框架(C#语言)和springboot框架(java)语言解决方案。

  1..net框架

  .net框架下,项目工程的物理路径即可直接转换为网站路径,通过编写python脚本,遍历工程内的目录文件,可直接转换为网站路径,基于该路径,zap可以在扫描过程中遍历系统全量路径及方法。

1-1.png

图1-1:路径转换python代码

1-2.png

图1-2:zap批量导入url功能

  2.springboot框架

  Springboot框架安全性更优,只对外提供API服务接口,无法直接访问物理路径,人工整理系统API接口繁琐且容易出纰漏。在此条件下,可以利用swagger插件将工程的全量API接口导出(json格式),再批量导入到zap工具中。

1-3.png

图2-1 swagger接口脚本下载位置

1-4.png

图2-2:zap批量导入api接口功能

  导入后的接口并不包含登陆信息,可以在zap设置界面统一添加http头进行token等验证信息的配置,以便工具进行后续的自动扫描。



作者:谭明   

来源:51Testing软件测试网原创

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          • SQL教程子查询——软件测试圈
            02-03
            子查询含义:出现在其它语句中的select语句,称为子查询、内查询、嵌套查询外部的查询语句,称为为主查询或外查询 分类:案子查询出现的位置:select后面      仅支持标量子查询from后面       支持表子查询※where或having后面    标量子查询※、列子查询※、行子查询(较少)exists后面(相关子查询)按结果集的行列数不同:标量子查询(结果集只有一行一列)行子查询(结果集只有一行多列)列子查询(结果集只有一列多行)表子查询(结果集一般为多行多列) 一、whe...
            移动测试
            15 14 1986
            分享
          • 认识QA, 游戏测试工程师究竟是做什么的?——软件测试圈
            12-22
              QA是什么?  QA(QUALITY ASSURANCE),中文意思是“质量保证”。  传统的软件行业还是以软件测试工程师为主,但是在新兴的互联网行业大多是以QA来命名这个职位,也就是质量保证。  它不仅仅是事后来检测产品的质量, 同时也关注验证, 关注预防, 涵盖软件从研发初期到上线运营的全生命周期。  游戏软件测试工程师存在的意义  游戏从广义来讲也是一个计算机软件 -> 计算机软件研发过程中会有不可避免的Bug-> 游戏在研发过程中也会有不可避免地Bug -> Bug会引起或大或小的问题 -> 需要有人来进行质量保证  游戏的QA如何开展工作?  验...
            职业发展
            0 0 3433
            分享
          • 一次完整的性能测试,测试人员需要做什么——软件测试圈
            10-21
            一、 规范性能测试实施流程的意义规范的性能测试实施流程能够加强测试工作流程控制,明确性能测试各阶段应完成的工作,指导测试人员正确、有序的开展性能测试工作,提高各角色在性能能测试中的工作效率。本次分享的性能测试实施流程是性能测试开展的” 指导方针”,希望帮助您可以早日成为性能测试” 达人”。二、 性能测试实施流程性能测试流程分为五个阶段,分别是【需求调研阶段】→【测试准备阶段】→【测试执行阶段】→【测试报告阶段】→【测试总结阶段】。每个阶段做什么事情?重点关注什么?1. 需求调研阶段1.1. 阶段概述调研阶段的主要工作为:组建工作小组、项目创建、需求分析、模型构建、定制性能测试详细实施计划。重点...
            性能测试
            0 1 1080
            分享
          • 模拟性能周期性检测,这5个步骤缺一不可
            10-10
              一、背景  随着各类应用快速和多样化的发展,产品迭代更换频繁,导致业务需求旺盛,开发测试任务源源不断。项目团队通过采取测试分层策略、测试数据治理、自动化回归、性能测试等一系列举措确保系统的安全生产。然而,通过调研发现,投产运行后的缺陷90%以上为性能问题,为我们敲响了性能警钟。为此,项目团队探索打破以项目维度开展性能测试的壁垒,按系统维度进行性能周期性检测,尽可能模拟系统生产运行模式,检验特定情况下是否会有系统级性能问题,降低系统投产的性能风险。  二、探索实践  性能周期性检测实践从性能测试环境建设、性能测试范围选取、测试脚本集准备、性能测试场景设置、性能测试结果对比分析及调优几个维度逐...
            测试技术性能测试
            1 1 2432
            分享
          • 登录大部分测试用例——软件测试圈
            08-10
            登录的测试用例设计点功能性用例设计点:输入已注册的用户名和正确的密码,验证是否成功登录输入已注册的用户名和不正确的密码,验证是否成功失败,且提示信息正确输入未注册的用户名和任意密码,验证是否登录失败,且提示信息正确使用未激活账户登录,验证是否登录失败使用被停用用户登录,验证是否登录失败用户名和密码两者都为空,验证是否登录失败,且提示信息正确用户名和密码两者之一为空,验证是否登录失败,并且提示信息正确如果登录功能启用了验证码功能,在用户名和密码正确的情况下,输入正确的验证码,验证是否登录成功如果登录功能启用了验证码功能,在用户名和密码正确的情况下,输入错误的验证码,验证是否登录失败,且提示信息正...
            移动测试
            0 1 2743
            分享
      • 51testing软件测试圈微信