Acunetix在SDLC中的安全性测试
DevOps只是害怕尝试新事物。它们用于Selenium测试,这些测试占用了管道并提供了难以解释的结果,但是与此同时,它们经常避开了DAST测试,这远没有那么麻烦。
由于他们的应用程序是完全用Java开发的,Acunetix因此他们的质量检查流程涉及三种类型的测试。首先,有一些简单的用Java本身编写的单元测试。基本上,测试访问单个函数,将其提供给示例数据,获取输出值,并将输出值与期望值进行比较。而已。
然后,进行功能和集成的Selenium测试。这些测试遍及所有屏幕,并且基本上试图使Selenium像一个简单的爬网程序那样工作。根据设计,该搜寻器根本不会进入管理,配置或报告屏幕。
将每个Selenium动作产生的DOM结构与预期数据(之前手动记录的)进行比较。Acunetix如果存在差异,Selenium会对应用程序进行“截屏”,并基本上告诉开发人员“此屏幕上的某处存在错误,请查找并修复”。
他们的主要产品的整个质量检查测试过程大约需要4个小时。硒测试消耗了大部分时间。如果他们不减少创建新的Docker容器,则该过程将至少花费两倍的时间。每次测试后,他们只需运行一系列SQL命令并加载默认数据库内容,而不是加载整个环境。
在与Michael交谈之前,我对QA测试的知识还很理论。谈话后,我感到震惊。我从没想到Selenium测试会花费这么长时间,而可怜的开发人员只会有截图作为指导!
然后,我想到了两个想法。
第一个想法实际上是一个问题。为什么DevOps经理对SDLC中的DAST测试保持警惕?为什么他们说硒测试需要更长的时间呢?为什么当他们的Selenium测试只是为开发人员提供应用程序的屏幕快照时,为什么他们抱怨DAST并不指向一行代码?
我只能猜测,Acunetix这仅仅是因为SDLC中的DAST测试对他们来说是新手,或者他们在尝试运行免费的DAST产品方面有一些不好的经验。以我的观点,了解Acunetix的工作原理,SDLC中的DAST测试将花费Selenium消耗的时间的一小部分,并将为开发人员提供有关该错误的更多信息!当然,这不能解决Selenium的问题,但是它不会比已经解决的问题多得多。
我想到的第二个想法与我读过的一些营销技巧有关,这些技巧来自知名的被动式IAST工具制造商。这些营销材料错误地比积极/真实的IAST更全面地宣传其产品。如果Michael的公司的测试完全跳过了所有管理,配置和报告屏幕,那么如果使用被动IAST进行测试,其应用程序的安全性如何?毕竟,安全性测试将完全忽略产品功能的主要部分。
谈话之后,我得出了两个结论。首先,不是DAST产品的功能才是许多企业未能实施早期测试的真正原因。其次,我证实了自己的信念,即被动IAST并不是确保应用程序安全的好方法。
Acunetix在SDLC中的安全性测试的更多相关文章
- 【安全性测试】Android测试中的一点小发现
在执行某个项目中的APP测试发现的两个问题,自然也是提供参考,作为经验记录下来. 一.通过apk的xml文件获取到某项目APP的账号和密码 使用eclipsel或者drozer,获得apk的xml文件 ...
- 如何在DevOps中实施连续测试
在过去的十年中,对软件开发的需求已急剧发展.软件已成为公司获得竞争优势的关键优势,特别是如果您的公司属于SaaS范畴.通过在SDLC中实施瀑布等传统流程,组织现在正在向敏捷过渡,以便以更快的速度在市场 ...
- 初识App安全性测试
目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可 ...
- 安全性测试入门:DVWA系列研究(二):Command Injection命令行注入攻击和防御
本篇继续对于安全性测试话题,结合DVWA进行研习. Command Injection:命令注入攻击. 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令, ...
- 安全性测试入门:DVWA系列研究(一):Brute Force暴力破解攻击和防御
写在篇头: 随着国内的互联网产业日臻成熟,软件质量的要求越来越高,对测试团队和测试工程师提出了种种新的挑战. 传统的行业现象是90%的测试工程师被堆积在基本的功能.系统.黑盒测试,但是随着软件测试整体 ...
- 安全性测试:OWASP ZAP使用入门指南
免责声明: 本文意在讨论使用工具来应对软件研发领域中,日益增长的安全性质量测试需求.本文涉及到的工具不可被用于攻击目的. 1. 安全性测试 前些天,一则12306用户账号泄露的新闻迅速发酵,引起了购票 ...
- H5测试点总结-UI测试、功能测试、兼容性测试、体验相关(弱网、资源、手机操作等)、安全性测试、性能测试
一.概述 1.1 什么是H5 H5 即 HTML5,是最新的 Web 端开发语言版本,现如今,大多数手机 APP 页面会用 H5 实现,包括 PC Web 站点也会用它开发实现.所以 Web 的通用测 ...
- 入门级----黑盒测试、白盒测试、手工测试、自动化测试、探索性测试、单元测试、性能测试、数据库性能、压力测试、安全性测试、SQL注入、缓冲区溢出、环境测试
黑盒测试 黑盒测试把产品软件当成是一个黑箱子,只有出口和入口,测试过程中只要知道往黑盒中输入什么东西,知道黑盒会出来什么结果就可以了,不需要了解黑箱子里面是如果做的. 即测试人员不用费神去理解软件里面 ...
- DevSecOps 运维模式中的安全性
本文想从技术的角度谈谈我对云计算数据中心 DevSecOps 运维模式中的安全性的理解,和过去几年我在云服务业务连续性管理方面的探索. 现在公有云服务商都不约而同地转向 DevSecOps 模式.De ...
随机推荐
- 科普 AF摄像头
AF(Auto Focus)自动对焦:自动对焦有两种方式,根据控制原理分为主动式和被动式两种.主动式自动对焦通过相机发射红外线,根据反射回来的射线信号确定被摄体的距离,再自动调节镜头,实现自动对焦.被 ...
- 重新整理 .net core 实践篇—————日志系统之战地记者[十五]
前言 本节开始整理日志相关的东西.先整理一下日志的基本原理. 正文 首先介绍一下包: Microsoft.Extengsion.Logging.Abstrations 这个是接口包. Microsof ...
- MindSpore数据集mindspore::dataset
MindSpore数据集mindspore::dataset ResizeBilinear #include <image_process.h> bool ResizeBilinear(L ...
- Pytorch和CNN图像分类
Pytorch和CNN图像分类 PyTorch是一个基于Torch的Python开源机器学习库,用于自然语言处理等应用程序.它主要由Facebookd的人工智能小组开发,不仅能够 实现强大的GPU加速 ...
- 在NVIDIA A100 GPU中使用DALI和新的硬件JPEG解码器快速加载数据
在NVIDIA A100 GPU中使用DALI和新的硬件JPEG解码器快速加载数据 如今,最流行的拍照设备智能手机可以捕获高达4K UHD的图像(3840×2160图像),原始数据超过25 MB.即使 ...
- WebRTC框架中的硬件加速
WebRTC框架中的硬件加速 典型缓冲流量 应用程序和单元测试设置 重要方法调用 WebRTC软件包 局限性 WebRTC是一个免费的开源项目,可为浏览器和移动应用程序提供实时通信功能. WebRTC ...
- onnx算子大全
本文通过此脚本从def文件自动生成.不要直接修改,而是编辑算子定义. 对于算子输入/输出的可辩别的,它可以是可辩别的.不可辩别的或未定义的.如果未指定变量的可辩别的,则该变量具有未定义的可辩别的. a ...
- 如何在小型pcb的移动设备上获得更好的无线性能
如何在小型pcb的移动设备上获得更好的无线性能 How to get better wireless performance for mobile devices with small PCBs 小型 ...
- thymeleaf——th:each、th:if的使用
一.th:each 作用:用于遍历controller层发送过来的集合. 例: Controller代码: @Controller public class HelloController { @Re ...
- pycharm在虚拟机跑深度学习Mac
1.在PyCharm里配置部署环境 打开PyCharmTools > Deployment > Configuration, 新建一个SFTP服务器,名字自己取: 输入如下图配置,注意这里 ...