首页 > 其他 > 详细

接口安全测试基础

时间:2021-08-25 17:59:27      阅读:17      评论:0      收藏:0      [点我收藏+]

1、常见的安全工具:

OWASP ZAP
WVS
Appscan
BurpSuite
sqlmap

2、安全测试关注的维度

  • 传输

   敏感信息传递加密
   链路加密

  • 接口

   访问控制

  • 参数

   注入: sql注入、命令注入、文件注入
   越权:越过更高的权限,越过同级权限

3、业务安全常见的checklist

  • 业务数据传输链路分析

    http是否传输敏感信息

    tcp等协议是否可被破解

  • 资产安全分析

    api清单手机:明确敏感信息分级、可访问性验证

    api参数收集:明确参数分类并针对分析

      token可遍历

      文件上传

     身份参数的有效验证

4、建立安全测试流程

(1)白盒代码分析:自动化

sonar、findbugs

(2)黑盒扫描机制:自动化

zap、wvs、burpsuite、appsan、sqlmap

(3)业务流程安全探索:人工检测

 burpsuite、zap

 

接口安全测试基础

原文:https://www.cnblogs.com/crystal1126/p/15184670.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!