安全测试 (Security Testing)

English | 简体中文

模块简介

安全测试模块提供了全面的网络安全和应用安全测试指导，帮助测试团队从攻击者角度发现系统安全弱点，建立完善的安全防护体系，确保系统和数据的安全性。

核心特性

🛡️ 全面安全覆盖

• Web应用安全： SQL注入、XSS、CSRF等Web安全漏洞测试
• API安全测试： 认证授权、输入验证、速率限制等API安全验证
• 移动应用安全： 客户端安全、数据存储、通信加密等移动安全测试
• 网络安全测试： 端口扫描、协议安全、防火墙配置等网络安全验证

🔍 多层次测试方法

• 漏洞扫描： 自动化工具扫描已知安全漏洞
• 渗透测试： 模拟真实攻击的深度安全测试
• 代码审计： 源代码级别的安全漏洞分析
• 配置审计： 系统配置安全性检查和验证

📋 合规性验证

• GDPR合规： 数据保护法规合规性测试
• PCI-DSS合规： 支付卡行业数据安全标准验证
• SOX合规： 萨班斯-奥克斯利法案IT控制测试
• ISO 27001： 信息安全管理体系标准验证

⚡ 威胁建模分析

• STRIDE模型： 欺骗、篡改、否认、信息泄露、拒绝服务、权限提升
• OWASP Top 10： Web应用最常见的安全风险分析
• ATT&CK框架： 攻击者战术、技术和程序分析
• 风险评估： 安全风险等级评估和影响分析

文件说明

中文提示词

• 文件： SecurityTestingPrompt.md
• 角色： 资深安全测试专家 (10年+安全测试经验)
• 适用场景： 中文项目团队，系统安全评估和加固

英文提示词

• 文件： SecurityTestingPrompt_EN.md
• 角色： Senior Security Testing Expert
• 适用场景： 国际化团队，英文项目环境

使用指南

快速开始

1. 选择提示词文件

   • 中文项目使用 SecurityTestingPrompt.md
   • 英文项目使用 SecurityTestingPrompt_EN.md

2. 准备输入材料

   系统架构：[系统架构图和技术栈信息]
   安全需求：[安全等级和保护要求]
   合规要求：[需要满足的合规标准]
   威胁模型：[面临的主要安全威胁]

3. 获取安全测试方案

   • 完整的安全测试策略和计划
   • 详细的测试用例和验证方法
   • 专业的风险评估和修复建议
   • 合规性测试和验证方案

应用场景

1. Web应用安全测试

测试重点：OWASP Top 10漏洞、认证授权、会话管理
测试方法：黑盒测试、白盒测试、灰盒测试
工具推荐：OWASP ZAP、Burp Suite、Nessus
预期收益：发现并修复Web应用安全漏洞

2. API安全测试

测试重点：认证机制、输入验证、速率限制、数据泄露
测试方法：API安全扫描、业务逻辑测试、权限验证
工具推荐：Postman、REST Assured、API Security Scanner
预期收益：保证API接口的安全性和可靠性

3. 移动应用安全测试

测试重点：客户端安全、数据存储、通信加密、平台安全
测试方法：静态分析、动态分析、逆向工程
工具推荐：MobSF、QARK、Frida、Objection
预期收益：确保移动应用在各种威胁下的安全性

4. 渗透测试

测试重点：系统漏洞、权限提升、横向移动、数据窃取
测试方法：信息收集、漏洞利用、后渗透、报告编写
工具推荐：Kali Linux、Metasploit、Nmap、Wireshark
预期收益：模拟真实攻击，发现深层安全问题

安全测试方法

OWASP Top 10 测试

A01 - 访问控制缺陷

• 垂直权限提升： 低权限用户获取高权限
• 水平权限提升： 同级用户间的权限越界
• 功能级访问控制： 功能权限控制绕过
• 数据级访问控制： 数据访问权限绕过

A02 - 加密机制失效

• 传输加密： HTTPS/TLS配置和实现
• 存储加密： 数据库和文件加密
• 密钥管理： 密钥生成、存储、轮换
• 加密算法： 算法强度和配置

A03 - 注入攻击

• SQL注入： 各种SQL注入技术
• NoSQL注入： MongoDB、Redis等注入
• 命令注入： 操作系统命令注入
• LDAP注入： LDAP查询注入

A04 - 不安全设计

• 威胁建模： 设计阶段的威胁分析
• 安全控制： 安全控制措施设计
• 攻击面： 攻击面最小化设计
• 纵深防御： 多层安全防护设计

渗透测试方法

信息收集阶段

• 被动信息收集： 公开信息搜集
• 主动信息收集： 端口扫描、服务识别
• 社会工程学： 人员信息收集
• 物理安全： 物理环境评估

漏洞发现阶段

• 自动化扫描： 漏洞扫描器使用
• 手工测试： 人工漏洞挖掘
• 代码审计： 源代码安全分析
• 配置检查： 系统配置安全检查

漏洞利用阶段

• 概念验证： 漏洞可利用性验证
• 权限提升： 获取更高系统权限
• 横向移动： 在网络中横向扩展
• 数据获取： 获取敏感数据

后渗透阶段

• 持久化： 建立持久化访问
• 痕迹清理： 清理攻击痕迹
• 影响评估： 评估攻击影响
• 报告编写： 编写渗透测试报告

工具推荐

漏洞扫描工具

• OWASP ZAP： 开源Web应用安全扫描器
• Burp Suite： 专业Web应用安全测试平台
• Nessus： 网络漏洞扫描器
• OpenVAS： 开源漏洞评估系统
• Acunetix： Web应用漏洞扫描器

渗透测试工具

• Kali Linux： 渗透测试专用Linux发行版
• Metasploit： 渗透测试框架
• Nmap： 网络发现和安全审计工具
• Wireshark： 网络协议分析器
• John the Ripper： 密码破解工具

代码分析工具

• SonarQube： 代码质量和安全分析平台
• Checkmarx： 静态应用安全测试工具
• Veracode： 应用安全测试平台
• Fortify： 静态代码安全分析工具
• Bandit： Python代码安全分析工具

移动应用安全工具

• MobSF： 移动应用安全测试框架
• QARK： Android应用安全分析工具
• iMAS： iOS移动应用安全工具
• Frida： 动态代码分析工具
• Objection： 移动应用运行时分析工具

最佳实践

1. 测试规划

• 威胁建模： 建立完整的威胁模型
• 风险评估： 评估安全风险等级
• 测试范围： 明确测试范围和边界
• 合规要求： 满足相关合规标准

2. 测试执行

• 授权测试： 获得明确的测试授权
• 环境隔离： 在隔离环境中进行测试
• 数据保护： 保护测试过程中的敏感数据
• 影响控制： 控制测试对生产系统的影响

3. 结果分析

• 漏洞验证： 验证发现漏洞的真实性
• 影响评估： 评估漏洞的业务影响
• 风险评级： 对漏洞进行风险等级评定
• 修复建议： 提供具体的修复建议

4. 持续改进

• 定期评估： 定期进行安全评估
• 威胁跟踪： 跟踪最新的安全威胁
• 工具更新： 保持安全工具的更新
• 技能提升： 持续提升安全测试技能

合规性测试

GDPR合规测试

• 数据处理合法性： 验证数据处理的法律依据
• 用户权利： 测试用户权利的实现
• 数据保护影响评估： DPIA流程验证
• 数据泄露通知： 72小时通知机制测试

PCI-DSS合规测试

• 网络安全： 防火墙和网络分段
• 数据保护： 持卡人数据保护
• 访问控制： 访问权限管理
• 监控测试： 网络和系统监控

SOX合规测试

• 内部控制： IT内部控制有效性
• 数据完整性： 财务数据完整性
• 访问管理： 财务系统访问管理
• 变更管理： IT变更管理流程

ISO 27001合规测试

• 信息安全政策： 安全政策实施
• 风险管理： 信息安全风险管理
• 访问控制： 信息访问控制
• 事件管理： 安全事件管理

成功案例

案例1：金融系统安全加固

• 背景： 银行核心系统安全评估
• 方案： 全面渗透测试 + 代码审计
• 效果： 发现高危漏洞15个，全部修复，通过监管检查

案例2：电商平台安全测试

• 背景： 大型电商平台上线前安全验证
• 方案： Web安全测试 + API安全测试
• 效果： 发现安全问题30+，修复后零安全事故

案例3：移动应用安全评估

• 背景： 金融类移动应用安全评估
• 方案： 移动应用安全测试 + 合规性验证
• 效果： 通过应用商店安全审核，获得安全认证

技能要求

基础技能

• 网络安全基础： 网络协议、加密技术、安全原理
• 系统安全知识： 操作系统、数据库、中间件安全
• 编程能力： 至少掌握一种编程语言
• 工具使用： 熟练使用各种安全测试工具

进阶技能

• 渗透测试技术： 深入的渗透测试技能
• 代码审计能力： 源代码安全分析能力
• 逆向工程： 二进制分析和逆向工程
• 威胁情报： 威胁情报收集和分析

认证推荐

• CEH： 道德黑客认证
• CISSP： 信息系统安全专家认证
• OSCP： 攻击性安全认证专家
• CISA： 信息系统审计师认证

发展趋势

技术趋势

• AI安全： 人工智能系统安全测试
• 云安全： 云原生应用安全测试
• IoT安全： 物联网设备安全测试
• 区块链安全： 区块链应用安全测试

方法趋势

• DevSecOps： 安全左移和持续安全
• 自动化安全： 安全测试自动化
• 威胁建模： 设计阶段的安全考虑
• 零信任安全： 零信任架构安全验证

学习资源

书籍推荐

• 《Web应用安全权威指南》
• 《黑客攻防技术宝典》
• 《安全测试指南》
• 《渗透测试实战指南》

在线平台

• OWASP： Web应用安全项目
• SANS： 信息安全培训机构
• Cybrary： 免费网络安全培训
• Hack The Box： 渗透测试练习平台

实验环境

• DVWA： 故意存在漏洞的Web应用
• WebGoat： OWASP安全学习平台
• Metasploitable： 故意存在漏洞的Linux系统
• VulnHub： 漏洞练习虚拟机

贡献指南

欢迎为安全测试模块贡献内容：

1. 分享案例： 分享安全测试成功案例
2. 完善方法： 补充安全测试方法和技巧
3. 工具推荐： 推荐新的安全测试工具
4. 威胁更新： 更新最新的安全威胁信息

许可证

本模块遵循 MIT 许可证，详见项目根目录的 LICENSE 文件。

---

构建安全防线，守护数字世界！ 🛡️🔒