1.什么是安全測試（What）？

　　安全測試就是要提供證據(jù)表明，在面對敵意和惡意輸入的時候，應用仍然能夠充分的滿足它的需求。

　　a.如何提供證據(jù)？ 我們通過一組失敗的安全測試用例執(zhí)行結果來證明web應用不滿足安全需求。

　　b.如何看待安全測試的需求？與功能測試相比，安全測試更加依賴于需求，因為它有更多可能的輸入和輸出可供篩選。

　　真正的軟件安全其實際上指的是風險管理，即我們確保軟件的安全程度滿足業(yè)務需要即可。

　　2. 如何開展（How to）？

　　基于常見攻擊和漏洞并結合實際添加安全測試用例，就是如何將安全測試變?yōu)槿粘９δ軠y試中簡單和普通的一部分的方法。

　　選擇具有安全意義的特殊邊界值，以及具有安全意義的特殊等價類，并將這些融入到我們的測試規(guī)劃和測試策略過程中。

　　但是若在功能測試基礎上進行安全測試，則需要增加大量測試用例。這意味著必須做兩件事來使其便于管理：

　　縮小關注的重點和測試自動化。

　　黑盒安全測試自動化的實施：

　　使用工具：

　　1.wapiti

　　a.簡介：wapiti：開源安全測試漏洞檢測工具(Web application vulnerability scanner / security auditor)

Wapiti allows you to audit the security of your web applications. It performs "black-box" scans,

i.e. it does not study the source code of the application but will scans the web pages of the deployed web applications,

looking for scripts and forms where it can inject data. Once it gets this list, Wapiti acts like a fuzzer,

injecting payloads to see if a script is vulnerable. Wapiti can detect the following vulnerabilities:

File Handling Errors (Local and remote include/require, fopen, ...)

Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)

XSS (Cross Site Scripting) Injection

LDAP Injection

Command Execution detection (eval(), system(), passtru()...)

CRLF Injection (HTTP Response Splitting, session fixation...)

　　---------------------------------------------------------------------------------------

　　功能和特點：

　　文件處理錯誤(本地和遠程打開文件，readfile ... )

　　數(shù)據(jù)庫注入(PHP/JSP/ASP，SQL和XPath注入)

　　XSS(跨站點腳本)注入

　　LDAP注入

　　命令執(zhí)行檢測(eval(), system(), passtru()...)

　　CRLF注射入(HTTP響應，session固定... )

　　----------------

　　統(tǒng)計漏洞數(shù)量

　　成功襲擊的細節(jié)

　　漏洞詳細信息

　　提供解決漏洞的方法

　　HTML報告格式

　　XML報告格式

服務區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌

主要業(yè)務為軟件產(chǎn)品測試、電子產(chǎn)品檢測、安防產(chǎn)品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統(tǒng)第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網(wǎng)防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統(tǒng)軟件測試、數(shù)字社區(qū)應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計、代碼檢測）、廣東省安全技術防范系統(tǒng)設計、施工、維修資格備案證業(yè)績檢測（安防工程檢測）、信息化項目技術績效評估(網(wǎng)站或系統(tǒng)績效評估）、政務信息化項目效能評估、信息系統(tǒng)安全等級保護備案證明、信息系統(tǒng)安全等保報告、網(wǎng)絡安全等保測評、信息系統(tǒng)安全等保測評、數(shù)字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營許可（即原來的：民用無人駕駛航空器經(jīng)營許可、道路運輸經(jīng)營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發(fā)生產(chǎn)銷售、無人機合作辦學、無人機實訓室建設、信息系統(tǒng)建設和服務能力評估CS、信息系統(tǒng)服務交付能力評估CCID、計算機信息系統(tǒng)安全服務證、信息系統(tǒng)集成及服務資質、信息系統(tǒng)運維資質、音視頻系統(tǒng)集成資質、安防系統(tǒng)集成資質、音視頻集成工程企業(yè)能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統(tǒng)設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業(yè)能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統(tǒng)集成資質、數(shù)據(jù)管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業(yè)認證、雙軟認定、動漫企業(yè)認定、技術合同登記、知識產(chǎn)權服務、發(fā)明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創(chuàng)業(yè)補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518