引子
|
从几个重大安全事故说起:iPhone-iCloud明星们相片泄露、支付宝用户隐私泄露门、携程网数据库被删除事件等讲到安全对企业重要性。我们应该掌握哪些安全知识,去那方面预防?
安全测试课程介绍:
1、介绍安全测试原理
2、解决实际工作问题
3、篡改数据
4、工具抓包分析
5、专题讲解业务产品结构
6、分析安全测试找到bug
|
第一节
介绍安全测试原理和工具介绍
|
1、安全测试入门理论
2、安全测试和传统系统黑盒测试不同点
3、安全测试必备人员能力
4、常见数据传输格式类型讲解
5、安全工具抓包三剑客重点介绍(fiddler、charles、Wshark)
6、抓包分析http格式
7、不同数据格式获取(Json、Pcap、Pb格式等)
8、业务场景介绍
9、黑客常见入侵方式? |
第二节
结合业务讲解端安全组件漏洞分析
|
安全测试不可能测试百分百完全,就像一定会有漏测一样。
1、 核心安全测试用例设计
2、 用xmind等脑图节约时间画(别用word浪费有限时间)
3、 安全测试报告撰写
4、 组件安全全面分析
A、 ssl证书安全
B、 远程代码执行漏洞
C、 系统隐藏接口漏洞
D、 黑客抓包篡改数据漏洞
学员设计
老师给一个带账号娱乐类软件(爱奇艺、土豆带登录vip账号登录软件,还有私有云空间信息的软件)
给出黑客攻击范围,域名劫持、vip账号数据库获取、获取用户基本信息,观看视频列表等等。让学生设计安全测试用例(30分钟)
老师点评!
但是怎么样花80%时间就测试好最核心功能。核心安全功能测试用例特别关键支付类产品形态和漏洞
|
第三节 通信加密漏洞分析
|
如何做账号登录安全测试
如何查看代码用业界安全的模式-保护用户设置密码的算法
1、 弱加密剖析
2、 RSA算法和DES加密
3、 https通信重要性
4、 post和get请求分析
5、 密钥长度分析
6、 随机数安全
7、 安全文档
8、 老师总结:
A 用什么加密算法
B 防止暴利破解
C、协议选取
|
第四节 App移动业务安全漏洞分析
|
业务安全全面分析
组件安全
数据库安全
webVIew安全分析
全局剪切板泄露
协议安全
登录安全
头文件安全
代码混淆
模拟黑客各种类型攻击和代码注入来技术层面分析各种安全漏洞
1、 数据库注入各种类型和代码如何预防
2、 WebView里面允许JS脚本远程注入入侵代码怎么样预防?
3、 动态加载文件入侵预防
4、 全局变量导入DB注入篡改数据库信息
5、 登录暴利破解和不安全加密模式具体分析
6、 数据完整性,数据破坏
例子.
老师举一个安全事故例子,支付类软件调用银行接口,出现某种异常,导致账号没钱也可以交易现象。设计测试用例(20分钟)
老师点评。
|
第五节
各种安全经典案例全面分析
|
1、账号系统常见安全问题
2、业务渠道类支付安全漏洞
3、web网页交易漏洞全面分析
案例1- webVIew入侵
案例2- 支付业务篡改
案例3- 代码注入
|