安全测试面试常见问题有哪些？

Posted 2023-03-30 易思训学院

1. 什么是安全测试

在所有类型的软件测试中，安全测试可以被认为是最重要的。其主要目的是在任何软件（Web或基于网络）的应用程序中找到漏洞，并保护其数据免受可能的攻击或入侵者。由于许多应用程序包含机密数据，需要被保护泄漏。软件测试需要定期在这样的应用程序上进行，以识别威胁并立即采取行动。

1. 什么是漏洞

漏洞可以被定义为任何系统的弱点（Vulnerability），入侵者或bug可以通过该系统进行攻击。如果系统没有严格执行安全性测试，那么漏洞的机会就会增加。有时补丁或修复程序需要防止系统出现漏洞。

1. 什么是入侵检测

入侵检测（Intrusion Detection）是帮助确定和处理可能的攻击的系统。入侵检测包括从多个系统和源收集信息，分析信息，找出可能的攻击方式。

入侵检测检查如下：

1.可能的攻击

2.任何异常活动

3.审核系统数据

4.不同采集数据的分析等。

4. 什么是SQL注入（SQL injection）

SQL注入是黑客获取关键数据的常用攻击技术之一。

黑客检查系统中的任何循环漏洞，通过这些漏洞，他们可以通过SQL查询传递安全检查并返回关键数据。这就是所谓的SQL注入。它可以允许黑客窃取关键数据，甚至使系统崩溃。

SQL注入非常关键，需要避免。定期的安全测试可以防止此类攻击。SQL数据库安全性需要正确定义，输入框和特殊字符应该正确处理。

 5. 列举安全测试的关注点

1.    Authentication

2.    Authorization

3.    Confidentiality

4.    Availability

5.    Integrity

6.    Non-repudiation

7.    Resilience

6. 什么是XSS

XSS或跨站点脚本是黑客用来攻击web应用程序的漏洞类型。

它允许黑客将html或javascript代码注入网页，网页可以从cookie中窃取机密信息并返回给黑客。这是最关键和最常见的技术之一，需要加以预防。

7. 什么是SSL连接和SSL Session

SSL或安全套接字层连接是瞬态对等通信链路，其中每个连接与一个SSL会话（SSL Session）相关联。

SSL会话可以定义为通常由握手协议列出的客户端和服务器之间的关联。定义了一组参数，并且可以由多个SSL连接共享。

8. 什么是渗透测试

渗透测试（Penetration Testing）是关于安全测试的，它有助于识别系统中的漏洞。渗透测试是试图通过手动或自动技术来评估系统的安全性，以及如果发现任何漏洞测试人员使用该漏洞来更深入地访问系统并发现更多漏洞。此测试的主要目的是防止系统受到任何可能的攻击。

渗透测试可以通过两种方式进行——白盒测试和黑盒测试。

在白盒测试中，测试人员可以使用所有信息，而在黑盒测试中，测试人员没有任何信息，他们在真实场景中测试系统以找出漏洞。

9.为什么渗透测试（Penetration Testing）非常重要

渗透测试很重要，因为：

1.由于攻击的威胁总是可能的，黑客可以窃取重要数据，甚至使系统崩溃，因此系统中的安全漏洞和环路漏洞可能非常昂贵。

2.不可能一直保护所有的信息。黑客总是会带来新的技术来窃取重要数据，以及测试人员需要定期执行测试以检测可能的攻击。

3.渗透测试通过上述攻击来识别和保护系统，并帮助组织保持其数据安全。

10. 请说出用于保护密码文件的两种常见技术

保护密码文件的两种常见技术是散列密码和salt值或密码文件访问控制。