分類
CISSP

誤用/濫用測試(Misuse/Abuse testing)

https://ithelp.ithome.com.tw/upload/images/20210316/20132160WQIyTI0v0z.png
-HTTP請求(來源:Chua Hock-Chuan


測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / delete?country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前,使用HTTP謂詞GET實現CRUD(創建,檢索,更新和刪除)數據操作並不罕見,該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為:
一種使用實現者不期望的功能的方法,允許攻擊者根據攻擊者的動作(或輸入)影響功能或使用功能的結果。
資料來源:OWASP

Synopsys定義了一個濫用案例,如下所示:
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊(可能帶來收入或提供積極的用戶體驗)受到攻擊時,這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法,從而可以對這些關鍵業務用例提供適當的保護。
資料來源:OWASP

模糊測試(Fuzz Testing)
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試(Stress Testing)
壓力測試側重於性能和可伸縮性;網絡,CPU,內存的工作量逐漸增加,以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易(Synthetic Transaction)
從嚴格意義上講,合成交易是一種主動的網站“監視”技術,通過在網絡瀏覽器中部署行為腳本來模擬真實客戶(或最終用戶)通過網站的路徑來完成。但是,合成交易對於高流量站點(例如電子商務)在發布之前進行測試至關重要。(monitis

參考
HTTP(超文本傳輸協議)基礎
代碼審查
模糊測試
回歸測試
什麼是綜合事務監控(誰需要它?…)
濫用案例備忘單

資料來源: Wentz Wu QOTD-20210209

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。