我是一名手动测试人员,但对编码的知识有限。如何进行网站的安全性测试。有没有可以从中学习的用于安全性测试的好的工具/站点/ docs /或类?

评论

欢迎来到SQA,userjain。您可能首先在此站点上搜索有关安全测试的其他问题。

#1 楼

我将从这里开始:https://www.owasp.org/index.php/Main_Page

很多良好的阅读材料,工具,视频等。

#2 楼

已经有很多非常好的SO / SQA相关页面;包括工具。

#3 楼

请找到有用的链接(参考)以开始使用


http://resources.infosecinstitute.com/net-penetration-testing-test-case-cheat-sheet/
https://www.pentesterlab.com/exercises/
http://darkassassinscybercrew.blogspot.in/2013/01/sqlmap-tutorial-for-window-7.html
http:// www .fuzzysecurity.com / tutorials / 4.html


#4 楼

BurpSuite和Fiddler是执行安全测试任务的两个重要工具。一定要检查一下。

对于我发现的方法,最好找出您的组织是否需要允许第三方审核和安全扫描。确保您的安全测试首先涵盖这些情况。然后移至最敏感的区域。通常,与身份验证,会话,用户授权级别和资金交易有关的任何事情都是一个不错的起点。这么说可能会引起争议,但就安全性而言,我认为低落的果实/明显的漏洞利用是一个不错的起点。大多数攻击者也会首先尝试这些攻击。

#5 楼

另一个很好的起点是阅读,请参阅https://www.guru99.com/software-testing.html

#6 楼

这是我用于渗透测试的一些工具

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

https://portswigger.net/burp

https://www.owasp.org/index.php/OWASP_Dependency_Check

https://www.defectdojo.org/

有很多学习材料:

https://portswigger.net/web-security

https://www.owasp.org/images/1/19 /OTGv4.pdf

https://repo.zenk-security.com/Magazine%20E-book/The%20web%20application%20hackers%20handbook%20finding%20and%20exploiting%20security%20flaws% 20-ed2%202011.pdf

#7 楼

这是测试人员编写的一些手动测试用例,用于网站的安全性验证,您可以将其用作参考。它还包含用于wordpress安全性的测试用例。通过它,您将能够确定需要安全的地方以及原因。 http://mundrisoft.com/tech-bytes/tips-for-security-testing-of-wordpress-website/