1.什么是安全测试（What）？

　　安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，应用仍然能够充分的满足它的需求。

　　a.如何提供证据？ 我们通过一组失败的安全测试用例执行结果来证明web应用不满足安全需求。

　　b.如何看待安全测试的需求？与功能测试相比，安全测试更加依赖于需求，因为它有更多可能的输入和输出可供筛选。

　　真正的软件安全其实际上指的是风险管理，即我们确保软件的安全程度满足业务需要即可。

　　2. 如何开展（How to）？

　　基于常见攻击和漏洞并结合实际添加安全测试用例，就是如何将安全测试变为日常功能测试中简单和普通的一部分的方法。

　　选择具有安全意义的特殊边界值，以及具有安全意义的特殊等价类，并将这些融入到我们的测试规划和测试策略过程中。

　　但是若在功能测试基础上进行安全测试，则需要增加大量测试用例。这意味着必须做两件事来使其便于管理：

　　缩小关注的重点和测试自动化。

　　黑盒安全测试自动化的实施：

　　使用工具：

　　1.wapiti

　　a.简介：wapiti：开源安全测试漏洞检测工具(Web application vulnerability scanner / security auditor)

Wapiti allows you to audit the security of your web applications. It performs "black-box" scans,

i.e. it does not study the source code of the application but will scans the web pages of the deployed web applications,

looking for scripts and forms where it can inject data. Once it gets this list, Wapiti acts like a fuzzer,

injecting payloads to see if a script is vulnerable. Wapiti can detect the following vulnerabilities:

File Handling Errors (Local and remote include/require, fopen, ...)

Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)

XSS (Cross Site Scripting) Injection

LDAP Injection

Command Execution detection (eval(), system(), passtru()...)

CRLF Injection (HTTP Response Splitting, session fixation...)

　　---------------------------------------------------------------------------------------

　　功能和特点：

　　文件处理错误(本地和远程打开文件，readfile ... )

　　数据库注入(PHP/JSP/ASP，SQL和XPath注入)

　　XSS(跨站点脚本)注入

　　LDAP注入

　　命令执行检测(eval(), system(), passtru()...)

　　CRLF注射入(HTTP响应，session固定... )

　　----------------

　　统计漏洞数量

　　成功袭击的细节

　　漏洞详细信息

　　提供解决漏洞的方法

　　HTML报告格式

　　XML报告格式

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区

WX:一三三+++++四二捌伍++++++二伍一捌

主要业务为软件产品测试、电子产品检测、安防产品检测、软件第三方验收测试、科技项目验收测试、信息系统第三方检测、集成电路检测、芯片检测、IC检测、雷电防护装置检测（建筑防雷装置检测、防雷定期检测、防雷首次检测）、通信网防御雷电安全保护检测、移动通信基站防雷检测、地理信息系统软件测试、数字社区应用软件测评、 建设领域软硬件测评、软件安全性测试、软件验收项目（安全、性能、验收测试、渗透测试、漏洞扫描、***检查、代码审计、代码检测）、广东省安全技术防范系统设计、施工、维修资格备案证业绩检测（安防工程检测）、信息化项目技术绩效评估(网站或系统绩效评估）、政务信息化项目效能评估、信息系统安全等级保护备案证明、信息系统安全等保报告、网络安全等保测评、信息系统安全等保测评、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工能、工业互联网)、广东省守合同重企业、通用航空经营许可（即原来的：民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业能力等级证书、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518

如有计划办的企业，可协助解决企业人员问题，可咨询我们，v---x：133----四二捌五----2518