服务流程Wser01
深度测试范围 一、默认误用漏洞 包括Web应用使用的操作系统以及Web应用程序本身的安全漏洞、错误或默认配置可以被利用的漏洞。 二、功能逻辑漏洞 涵盖信息系统全部功能的测试,其测试内容以功能逻辑、业务逻辑为主该测试方式以手工为主也是最耗时的测试方式,其优点是测试全面够深入。 三、编码漏洞 包含SQL注入漏洞、跨站、源代码泄露、缓冲区溢出等常见漏洞。 四、信息泄露漏洞 由于异常没有处理或者其他原因造成了系统信息的泄漏,以及未设置正确的访问控制措施导致用户可以直接目录遍历或者直接访问浏览。
沃顿在线安全服务团队依据数十客户的业务特点梳理出的行业测试模型,围绕开发生命周期测试环节为客户提供上线前、上线后2种测试方法,注重在业务上线之前深挖功能、业务逻辑漏洞,其因在于功能和业务逻辑涉及用户使用习惯,在上线后期发现严重漏洞后部分漏洞的修复会增加验证等环节导致用户使用体验下降。
业务系统通过测试正式发布至生产环境后周期性对业务版本、运维日常、信息泄露等问题进行常规检测即可。
行业测试方法展示
(电商测试模型)
(互联网基本功能测试模型)
(P2P金融测试模型)
(政府/事业单位测试模型)
