- Văn bản
- Lịch sử
Other Testing ConsiderationsTen use
Other Testing Considerations
Ten useful things to remember in Web security testing: 1. Security testing is active, not passive, testing. 2. Unhandled exceptions are gold mines in which to look for security vulnerabilities. 3. Input interfaces are gold mines for fault injection in which to look for security bugs. ■■ Consider every conceivable invalid input on the client-side ■■ Consider every conceivable invalid input on the server-side 4. Focus on input conditions where data is moved from untrusted to trusted domains. 5. Design test cases with special emphasis on the boundary between trusted and untrusted domains. 6. Look for bugs that allow users to execute a program onto the host. 7. Look for bugs that allow users to upload a program onto the host. 8. Look for bugs that allow users to elevate access privilege. 9. Be aware that the application often will mishandle some bad data coming from the untrusted client-side. 10. Look for input data that will potentially become executable (e.g., when input becomes output). General testing considerations include the following: ■■ Every component in a Web system has its own security weaknesses. Asecurity system is only as strong as its weakest link. The four usual places security defenses are violated are: ■■ The client system (Web browser, other applications, and components) ■■ The server (Web, database, and other servers) ■■ The network ■■ Online transactions ■■ An organization’s security team, not the software testing team, determines policy on all security-related issues: user access, time-outs, content availability, database viewing, system protection, security tools, and more. Whether a company’s security defense is secure enough is not determined by the testing group. The role of a testing group is to test the existing system in order to uncover errors in security implementation primarily at the application level.
Ten useful things to remember in Web security testing: 1. Security testing is active, not passive, testing. 2. Unhandled exceptions are gold mines in which to look for security vulnerabilities. 3. Input interfaces are gold mines for fault injection in which to look for security bugs. ■■ Consider every conceivable invalid input on the client-side ■■ Consider every conceivable invalid input on the server-side 4. Focus on input conditions where data is moved from untrusted to trusted domains. 5. Design test cases with special emphasis on the boundary between trusted and untrusted domains. 6. Look for bugs that allow users to execute a program onto the host. 7. Look for bugs that allow users to upload a program onto the host. 8. Look for bugs that allow users to elevate access privilege. 9. Be aware that the application often will mishandle some bad data coming from the untrusted client-side. 10. Look for input data that will potentially become executable (e.g., when input becomes output). General testing considerations include the following: ■■ Every component in a Web system has its own security weaknesses. Asecurity system is only as strong as its weakest link. The four usual places security defenses are violated are: ■■ The client system (Web browser, other applications, and components) ■■ The server (Web, database, and other servers) ■■ The network ■■ Online transactions ■■ An organization’s security team, not the software testing team, determines policy on all security-related issues: user access, time-outs, content availability, database viewing, system protection, security tools, and more. Whether a company’s security defense is secure enough is not determined by the testing group. The role of a testing group is to test the existing system in order to uncover errors in security implementation primarily at the application level.
0/5000
Khác cân nhắc thử nghiệmMười những điều hữu ích để nhớ trong trang Web bảo mật thử nghiệm: 1. kiểm tra an ninh được kích hoạt, không thụ động, thử nghiệm. 2. không được ngoại lệ là mỏ vàng trong đó để tìm kiếm lỗ hổng bảo mật. 3. đầu vào giao diện là mỏ vàng cho lỗi tiêm trong đó để tìm lỗi bảo mật. ■■ xem xét mỗi đầu vào không hợp lệ conceivable ■■ phía khách hàng xem xét việc mỗi đầu vào không hợp lệ conceivable về phía máy chủ 4. Tập trung vào đầu vào điều kiện nơi dữ liệu được di chuyển từ không đáng tin cậy để tên miền đáng tin cậy. 5. thiết kế trường hợp thử nghiệm với sự nhấn mạnh đặc biệt trên ranh giới giữa tên miền đáng tin cậy và không đáng tin cậy. 6. Hãy tìm các lỗi cho phép người dùng để thực hiện một chương trình vào các máy chủ. 7. Hãy tìm lỗi đó cho phép người dùng tải lên một chương trình vào các máy chủ. 8. Hãy tìm các lỗi cho phép người dùng để nâng cao đặc quyền truy cập. 9. nhận thức rằng các ứng dụng thường sẽ mishandle một số dữ liệu xấu đến từ phía khách hàng không đáng tin cậy. 10. Hãy tìm các đầu vào dữ liệu đó sẽ có khả năng trở thành thực thi (ví dụ như, khi đầu vào trở nên sản lượng). Cân nhắc kiểm tra tổng quát bao gồm: ■■ mỗi thành phần trong một hệ thống Web có điểm yếu bảo mật riêng của mình. Hệ thống Asecurity là chỉ mạnh như liên kết yếu nhất của nó. Bốn địa điểm thông thường bảo vệ an ninh đang xâm phạm: ■■ Hệ thống khách hàng (trình duyệt Web, ứng dụng, và linh kiện khác) ■■ các máy chủ (Web, cơ sở dữ liệu, và các máy chủ khác) ■■ mạng ■■ giao dịch trực tuyến ■■ của tổ chức an ninh đội, không phần mềm thử nghiệm đội, xác định các chính sách trên tất cả các vấn đề liên quan đến an ninh: người dùng truy cập, thời gian-outs, nội dung sẵn có, xem cơ sở dữ liệu, bảo vệ hệ thống, công cụ bảo mật, và nhiều hơn nữa. Cho dù một công ty an ninh quốc phòng là đủ an toàn không được xác định bởi nhóm thử nghiệm. Vai trò của một nhóm thử nghiệm là để kiểm tra hệ thống hiện có để phát hiện ra sai sót trong an ninh thực hiện chủ yếu ở cấp độ ứng dụng.
đang được dịch, vui lòng đợi..
Xem xét nghiệm khác
Mười điều hữu ích để nhớ trong kiểm tra an ninh Web: 1. kiểm tra an ninh được kích hoạt, không thụ động, thử nghiệm. 2. ngoại lệ Unhandled là mỏ vàng, trong đó để tìm các lỗ hổng an ninh. 3. giao diện đầu vào là các mỏ vàng để tiêm lỗi trong đó để tìm kiếm lỗi bảo mật. ■■ Hãy xem xét tất cả các đầu vào không hợp lệ có thể tưởng tượng về phía khách hàng ■■ Hãy xem xét từng hình dung được đầu vào không hợp lệ trên server-side 4. Tập trung vào điều kiện đầu vào, nơi dữ liệu được chuyển từ không tin cậy để tên miền tin cậy. 5. Thiết kế trường hợp thử nghiệm với sự nhấn mạnh đặc biệt về ranh giới giữa các lĩnh vực tin cậy và không tin cậy. 6. Hãy tìm lỗi cho phép người dùng thực hiện một chương trình vào máy chủ. 7. Hãy tìm lỗi mà cho phép người dùng tải lên một chương trình vào máy chủ. 8. Hãy tìm lỗi cho phép người dùng để nâng cao đặc quyền truy cập. 9. Hãy nhận biết rằng các ứng dụng thường sẽ hành hạ một số dữ liệu xấu đến từ phía khách hàng không tin cậy. 10. Hãy tìm các dữ liệu đầu vào có khả năng sẽ trở thành thực thi (ví dụ, khi đầu vào trở nên đầu ra). Tổng kiểm tra các cân nhắc bao gồm: ■■ Mỗi thành phần trong một hệ thống Web có những điểm yếu bảo mật của riêng mình. Hệ thống Asecurity là chỉ mạnh như liên kết yếu nhất của nó. Bốn phòng thủ nơi an ninh thông thường bị vi phạm là: ■■ các hệ thống máy khách (trình duyệt Web, các ứng dụng khác, và các thành phần) ■■ các máy chủ (Web, cơ sở dữ liệu, và các máy chủ khác) ■■ ■■ các mạng giao dịch trực tuyến ■■ Một tổ chức của đội ngũ an ninh, không phải là đội kiểm thử phần mềm, xác định chính sách trên tất cả các vấn đề an ninh liên quan đến: người dùng truy cập, thời gian chờ, sẵn có nội dung, xem cơ sở dữ liệu, bảo vệ hệ thống, công cụ bảo mật, và nhiều hơn nữa. Dù an ninh quốc phòng của một công ty là đủ an toàn không được xác định bởi nhóm thử nghiệm. Vai trò của một nhóm thử nghiệm là để kiểm tra các hệ thống hiện có để phát hiện ra sai sót trong việc thực hiện bảo mật chủ yếu ở mức ứng dụng.
Mười điều hữu ích để nhớ trong kiểm tra an ninh Web: 1. kiểm tra an ninh được kích hoạt, không thụ động, thử nghiệm. 2. ngoại lệ Unhandled là mỏ vàng, trong đó để tìm các lỗ hổng an ninh. 3. giao diện đầu vào là các mỏ vàng để tiêm lỗi trong đó để tìm kiếm lỗi bảo mật. ■■ Hãy xem xét tất cả các đầu vào không hợp lệ có thể tưởng tượng về phía khách hàng ■■ Hãy xem xét từng hình dung được đầu vào không hợp lệ trên server-side 4. Tập trung vào điều kiện đầu vào, nơi dữ liệu được chuyển từ không tin cậy để tên miền tin cậy. 5. Thiết kế trường hợp thử nghiệm với sự nhấn mạnh đặc biệt về ranh giới giữa các lĩnh vực tin cậy và không tin cậy. 6. Hãy tìm lỗi cho phép người dùng thực hiện một chương trình vào máy chủ. 7. Hãy tìm lỗi mà cho phép người dùng tải lên một chương trình vào máy chủ. 8. Hãy tìm lỗi cho phép người dùng để nâng cao đặc quyền truy cập. 9. Hãy nhận biết rằng các ứng dụng thường sẽ hành hạ một số dữ liệu xấu đến từ phía khách hàng không tin cậy. 10. Hãy tìm các dữ liệu đầu vào có khả năng sẽ trở thành thực thi (ví dụ, khi đầu vào trở nên đầu ra). Tổng kiểm tra các cân nhắc bao gồm: ■■ Mỗi thành phần trong một hệ thống Web có những điểm yếu bảo mật của riêng mình. Hệ thống Asecurity là chỉ mạnh như liên kết yếu nhất của nó. Bốn phòng thủ nơi an ninh thông thường bị vi phạm là: ■■ các hệ thống máy khách (trình duyệt Web, các ứng dụng khác, và các thành phần) ■■ các máy chủ (Web, cơ sở dữ liệu, và các máy chủ khác) ■■ ■■ các mạng giao dịch trực tuyến ■■ Một tổ chức của đội ngũ an ninh, không phải là đội kiểm thử phần mềm, xác định chính sách trên tất cả các vấn đề an ninh liên quan đến: người dùng truy cập, thời gian chờ, sẵn có nội dung, xem cơ sở dữ liệu, bảo vệ hệ thống, công cụ bảo mật, và nhiều hơn nữa. Dù an ninh quốc phòng của một công ty là đủ an toàn không được xác định bởi nhóm thử nghiệm. Vai trò của một nhóm thử nghiệm là để kiểm tra các hệ thống hiện có để phát hiện ra sai sót trong việc thực hiện bảo mật chủ yếu ở mức ứng dụng.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- cảm ơn, tôi không biết nhiều tiếng anh c
- donot feel bad if people remember you on
- thực tập viên vị trí marketing
- look at these tasty looking greens I fou
- thực tập viên vị trí marketing
- donot feel bad if people remember you on
- issue
- gửi người ông thân yêu của con
- I am a 45 year old man who loves meeting
- finish
- tôi muốn kiếm tiền
- +Trước khi nói những điều này mong bác g
- A date that is an exact number of year a
- a shrine day
- Shabbir AyaanBs i like sex..Vừa xong · Đ
- tôi phải chịu sức ép ngày càng tăng to l
- Accepting cookies: | Always | Prompt | D
- Từ đó, có thể phòng tránh được nguy cơ t
- Rat vui khi duoc lam quen voi ban
- chúng tôi đã tham gia xây dựng các dự án
- Ce métier porte dans les secteurs de la
- V ( bare - inf)
- [cp]#女神新装# 时尚,如不离不弃的朋友一般美丽。#百变女神尹恩惠# 设计师
- V ( bare - inf)
