1.什么是安全測試（What）？

　　安全測試就是要提供證據(jù)表明，在面對敵意和惡意輸入的時候，應(yīng)用仍然能夠充分的滿足它的需求。

　　a.如何提供證據(jù)？ 我們通過一組失敗的安全測試用例執(zhí)行結(jié)果來證明web應(yīng)用不滿足安全需求。

　　b.如何看待安全測試的需求？與功能測試相比，安全測試更加依賴于需求，因?yàn)樗懈嗫赡艿妮斎牒洼敵隹晒┖Y選。

　　真正的軟件安全其實(shí)際上指的是風(fēng)險管理，即我們確保軟件的安全程度滿足業(yè)務(wù)需要即可。

　　2. 如何開展（How to）？

　　基于常見攻擊和漏洞并結(jié)合實(shí)際添加安全測試用例，就是如何將安全測試變?yōu)槿粘９δ軠y試中簡單和普通的一部分的方法。

　　選擇具有安全意義的特殊邊界值，以及具有安全意義的特殊等價類，并將這些融入到我們的測試規(guī)劃和測試策略過程中。

　　但是若在功能測試基礎(chǔ)上進(jìn)行安全測試，則需要增加大量測試用例。這意味著必須做兩件事來使其便于管理：

　　縮小關(guān)注的重點(diǎn)和測試自動化。

　　黑盒安全測試自動化的實(shí)施：

　　使用工具：

　　1.wapiti

　　a.簡介：wapiti：開源安全測試漏洞檢測工具(Web application vulnerability scanner / security auditor)

Wapiti allows you to audit the security of your web applications. It performs "black-box" scans,

i.e. it does not study the source code of the application but will scans the web pages of the deployed web applications,

looking for scripts and forms where it can inject data. Once it gets this list, Wapiti acts like a fuzzer,

injecting payloads to see if a script is vulnerable. Wapiti can detect the following vulnerabilities:

File Handling Errors (Local and remote include/require, fopen, ...)

Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)

XSS (Cross Site Scripting) Injection

LDAP Injection

Command Execution detection (eval(), system(), passtru()...)

CRLF Injection (HTTP Response Splitting, session fixation...)

　　---------------------------------------------------------------------------------------

　　功能和特點(diǎn)：

　　文件處理錯誤(本地和遠(yuǎn)程打開文件，readfile ... )

　　數(shù)據(jù)庫注入(PHP/JSP/ASP，SQL和XPath注入)

　　XSS(跨站點(diǎn)腳本)注入

　　LDAP注入

　　命令執(zhí)行檢測(eval(), system(), passtru()...)

　　CRLF注射入(HTTP響應(yīng)，session固定... )

　　----------------

　　統(tǒng)計(jì)漏洞數(shù)量

　　成功襲擊的細(xì)節(jié)

　　漏洞詳細(xì)信息

　　提供解決漏洞的方法

　　HTML報告格式

　　XML報告格式

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌

主要業(yè)務(wù)為軟件產(chǎn)品測試、電子產(chǎn)品檢測、安防產(chǎn)品檢測、軟件第三方驗(yàn)收測試、科技項(xiàng)目驗(yàn)收測試、信息系統(tǒng)第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護(hù)裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網(wǎng)防御雷電安全保護(hù)檢測、移動通信基站防雷檢測、地理信息系統(tǒng)軟件測試、數(shù)字社區(qū)應(yīng)用軟件測評、 建設(shè)領(lǐng)域軟硬件測評、軟件安全性測試、軟件驗(yàn)收項(xiàng)目（安全、性能、驗(yàn)收測試、滲透測試、漏洞掃描、***檢查、代碼審計(jì)、代碼檢測）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績檢測（安防工程檢測）、信息化項(xiàng)目技術(shù)績效評估(網(wǎng)站或系統(tǒng)績效評估）、政務(wù)信息化項(xiàng)目效能評估、信息系統(tǒng)安全等級保護(hù)備案證明、信息系統(tǒng)安全等保報告、網(wǎng)絡(luò)安全等保測評、信息系統(tǒng)安全等保測評、數(shù)字新基建項(xiàng)目第三方測試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營許可（即原來的：民用無人駕駛航空器經(jīng)營許可、道路運(yùn)輸經(jīng)營許可、AOPA無人機(jī)多旋翼駕駛員培訓(xùn)、無人機(jī)研發(fā)生產(chǎn)銷售、無人機(jī)合作辦學(xué)、無人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評估CS、信息系統(tǒng)服務(wù)交付能力評估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級證書、信息化能力評價、EDI/ICP安全防護(hù)檢測、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)（安裝）證、廣東省防雷工程企業(yè)能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎申請、專利合作申請（即掛名）、國家高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動漫企業(yè)認(rèn)定、技術(shù)合同登記、知識產(chǎn)權(quán)服務(wù)、發(fā)明專利加急、集成電路布圖專有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測報告（軟件項(xiàng)目驗(yàn)收鑒定報告）、工商注冊、代理記賬、創(chuàng)業(yè)補(bǔ)助申請等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518

如有計(jì)劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518