靠近主要制造商。 《阿里巴巴集团Web安全测试规范》特别版（阿里巴巴测试开发笔试题）

总结：今天我们走近一家领先的厂商，一起学习阿里巴巴的阿里巴巴集团安全测试规范。 阿里巴巴集团安全测试规范 阿里巴巴集团安全测试规范 背景简介 规范代码安全开发，规避安全风险。 而如何系统地进行安全测试目前缺乏相应的理论和方法论支撑。

很多人都知道，在学校学到的技术、创业公司的技术、合约公司的技术、自研公司的技术，和各大互联网公司的技术有很大的不同。 几乎每个互联网圈子里的人都有一个“大工厂梦”。 因为加入大工厂意味着更先进的技术、更高的薪酬、更好的同事和领导、以及更大的成长空间。 即使你来自大工厂，以后找工作也会容易很多。

今天我们就走近一家大厂，一起学习一下阿里巴巴的《阿里巴巴集团Web安全测试规范》。

《阿里巴巴集团Web安全测试规范》

p>

背景介绍

规范代码的安全开发和运行方式，避免安全风险。 性检测目前缺乏相应的理论和方法论支持。 为此，我们制定了《安全测试规范》。 这使得测试人员能够系统、快速地对被测系统针对常见的安全漏洞和攻击技术进行安全测试。

适用受众

这里本规范的读者和用户主要是测试人员、开发人员等。

范围

本规范主要以常见的基于服务器的 Web 应用程序系统为例。 其他系统也可以参考。 下图展示了一个基于流行服务器的典型Web应用系统。

在本规范中该方法主要是一种积极的测试。 除了涵盖行业通用的 Web 安全测试方法之外，我们还利用一些行业最佳的安全实践。

安全测试在整个项目流程中的地位

一般情况下，建议在进行集成测试之前，根据产品实现架构和安全需求完成安全测试需求分析和测试设计，准备好安全测试用例。 。

集成版本正式测试后，您将可以进行安全测试。 如果产品质量不稳定，前期功能问题较多，可以适当推迟安全测试。

如何测试网络安全

验证安全功能

功能验证在软件测试中采用黑盒测试技术来测试用户管理模块、权限管理模块、密码系统、认证系统等与安全相关的软件功能。 主要是验证上述功能是否启用或者不存在安全性。 漏洞。 具体方法可以采用黑盒测试方法。

漏洞扫描

漏洞扫描是检测指定远程或本地计算机系统中的安全漏洞的过程，例如通过扫描漏洞数据库，发现可利用的安全检测（入侵攻击）。 行动。

漏洞扫描技术是网络安全技术的重要一类。 与防火墙、入侵检测系统配合，有效提高网络安全性。 通过对网络进行扫描，网络管理员可以了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络的风险级别。 根据扫描结果，网络管理员可以修复网络安全漏洞和系统错误配置，以防止黑客攻击。 防火墙和网络监控系统属于被动防御，而安全扫描则是主动防御措施，可以有效抵御黑客攻击，将问题消灭在萌芽状态。

Appscan 工具简介

Appscan扫描工具只能检测一些常见的漏洞（如跨站脚本、SQL注入等），不针对用户代码。由于我们了解业务逻辑，因此我们无法针对这些漏洞做出任何进一步的业务决策。 通常，最严重的安全问题不是常见的漏洞，而是通过这些漏洞暴露的对业务逻辑或应用程序的攻击。

Web 目前分为两部分：应用程序和 Web 服务。 传统意义上的应用程序指的是Web应用程序，而Web服务是一种面向服务的架构技术，通过标准的Web协议（HTTP、XML、SOAP、WSDL等）提供服务。

AppScan 的工作原理

AppScan 的工作原理：

1. 通过搜索（爬网）发现 Web 应用程序的整个结构。

2. 根据分析，通过发送修改后的 HTTP 请求（扫描规则库）来尝试攻击。

3.通过Respond分析验证是否存在安全漏洞。

简而言之，AppScan的核心提供了一个扫描规则库，利用自动化的“探索”技术来检索大量的页面和页面参数，然后进行安全测试。 扫描规则库、探索和测试构成了 AppScan 的三个核心元素。

测试用例和规范

测试用例和规范如下： 可以被分类。 有两种类型：主动模式和被动模式。 在被动模式下，测试人员尽可能地理解应用程序逻辑。 例如，使用工具分析所有 HTTP 请求和响应，使测试人员能够了解应用程序中的所有访问点，包括 HTTP 标头、参数、cookie 等。 在主动模式下，测试人员充当黑客，尝试对应用程序、系统、后端等进行渗透测试。 可能的影响包括数据损坏和拒绝服务。 一般来说，测试人员必须首先熟悉目标系统（被动模式测试）。 接下来，进行进一步分析（在主动模式下测试）。 与测试对象进行主动测试会话目标执行直接数据交互，这对于被动测试来说不是必需的。 见下图：

与本规范相关的测试工具

应用和使用安全工具时，请遵守我们的信息安全规定。

工具名称

AppScan IBM Rational AppScan，用于Web安全测试的自动扫描工具

WebScarab Web代理软件扫描您的浏览器和网络，您可以编辑和更改服务器之间的通信数据

DirBuster 是一个用于在 Web 安全测试中遍历目录和文件的工具。

WSDigger Web服务安全测试工具

Jad Java class文件反编译软件

CAJAVA Java class文件反编译软件（兼容多个JDK版本）

>

Pangolin SQL注入测试工具

WireShark网络协议抓包分析工具

优点

本次特别版《阿里巴巴集团Web安全测试规范》点击下面即可获得。

《阿里巴巴集团Web安全测试规范》