分類: CISSP

-HTTP請求（來源：Chua Hock-Chuan）

測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例，例如GET / customer / delete？country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前，使用HTTP謂詞GET實現CRUD（創建，檢索，更新和刪除）數據操作並不罕見，該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為：
一種使用實現者不期望的功能的方法，允許攻擊者根據攻擊者的動作（或輸入）影響功能或使用功能的結果。
資料來源：OWASP

Synopsys定義了一個濫用案例，如下所示：
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊（可能帶來收入或提供積極的用戶體驗）受到攻擊時，這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法，從而可以對這些關鍵業務用例提供適當的保護。
資料來源：OWASP

模糊測試（Fuzz Testing）
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試（Stress Testing）
壓力測試側重於性能和可伸縮性；網絡，CPU，內存的工作量逐漸增加，以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易（Synthetic Transaction）
從嚴格意義上講，合成交易是一種主動的網站“監視”技術，通過在網絡瀏覽器中部署行為腳本來模擬真實客戶（或最終用戶）通過網站的路徑來完成。但是，合成交易對於高流量站點（例如電子商務）在發布之前進行測試至關重要。（monitis）

參考
. HTTP（超文本傳輸協議）基礎
. 代碼審查
. 模糊測試
. 回歸測試
. 什麼是綜合事務監控（誰需要它？…）
. 濫用案例備忘單

資料來源： Wentz Wu QOTD-20210209

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

費根檢查是一種依靠組檢查方法的正式檢查，即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。

• 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術，涉及將由模糊器生成的無效，意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常，例如崩潰，內置代碼斷言失敗或潛在的內存洩漏。通常，模糊器用於測試採用結構化輸入的程序。（維基百科）
• 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
• 代碼檢查(Code review)（有時稱為對等檢查）是一種軟體質量保證活動，其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序，他們在實施後或中斷實施時進行檢查。在靜態代碼分析中（static code analysis），主要檢查由自動化程序執行。（維基百科）

費根檢查（Fagan Inspection）

費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷（例如源代碼或正式規範）的過程。它以邁克爾·法根（Michael Fagan）的名字命名，後者被認為是正式軟體檢查的發明者。

儘管已證明費根檢查方法非常有效，但已有多個研究人員提出了改進建議。例如，Genuchten一直在研究電子會議系統（EMS）的使用，以提高會議的效率並取得積極成果。

其他研究人員提出了使用軟體的功能，該軟件可以保留檢測到的錯誤的數據庫，並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。

資料來源：維基百科

參考

• 代碼審查
• 模糊測試
• 回歸測試
• 法根檢查
• GUI測試工具比​​較

資料來源： Wentz Wu QOTD-20210208

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文