Database Testing Tutorial
Database Testing Useful Resources
Selected Reading
- DB Testing - Interview Questions
- Database Testing – Challenges
- Database Testing – Security
- Database Testing – Recovery
- Database Testing – Backup
- Database Testing – Tools
- Database Testing – Performance
- Database Testing – Data Mapping
- Database Testing – Data Integrity
- Database Testing – Objects
- Database Testing – Scenarios
- Database Testing – Techniques
- Database Testing – Processes
- Database Testing – Types
- Database Testing – Overview
- Database Testing - Home
Database Testing Useful Resources
Selected Reading
- Who is Who
- Computer Glossary
- HR Interview Questions
- Effective Resume Writing
- Questions and Answers
- UPSC IAS Exams Notes
Database Testing – Security
Database Testing – Security
数据库安全测试是为了发现安全机制中的漏洞,以及发现数据库系统的脆弱性或弱点。
数据库安全测试的主要目标是查明系统中的弱点,并确定其数据和资源是否受到保护,使其不受潜在的闯入者的影响。 安保检测确定一种方法,在定期进行时有效查明潜在的弱点。
下面是进行数据库安全测试的主要目标——
Authentication
Authorization
Confidentiapty
Availabipty
Integrity
Resipence
Types of Threats on a Database System
SQL Injection
这是一种数据库系统中最常见的攻击类型,在数据库系统中插入了恶意陈述,并为了从数据库系统获取关键信息而执行。 这次攻击利用了用户应用方面的漏洞。 为防止这种情况,应认真处理用户投入领域。
Privilege Elevation in Database
在这次攻击中,一个用户已经能够进入数据库系统,他只是试图提高这一接入水平,以便他/她能够在数据库系统中开展一些未经许可的活动。
Denial of Service
在这类袭击中,攻击者提供了数据库系统或向其合法使用者提供的资源。 申请也可以以无法使用的方式受到攻击,有时甚至整个机器。
Unauthorized Access to data
另一种类型的攻击是在申请或数据库系统中获取未经许可的数据。 未经许可的准入包括:
Unauthorized access to data via user based apppcations
Unauthorized access to by monitoring the access of others
Unauthorized access to reusable cpent authentication information
Identity Spoofing
在身份证明书中,一名黑客利用用户或装置的证书对网络东道方发动攻击、偷窃数据或绕行数据库系统的出入控制。 防止这一攻击需要信息技术基础设施建设和网络一级的缓解。
Data Manipulation
在一次数据操纵袭击中,一名黑客改变数据,以获得某种好处或破坏数据库所有人的形象。
Database Security Testing Techniques
Penetration Testing
渗透测试是对计算机系统的攻击,目的是发现安全漏洞,有可能获得这种漏洞、其功能和数据。
Risk Finding
风险调查结果是评估和决定与损失类型和发生脆弱性的可能性有关的风险的过程。 这是本组织内部通过各种面谈、讨论和分析确定的。
SQL Injection Test
它包括检查应用领域的用户投入。 例如,进入特殊性质,如“、”或“;”在用户申请中的任何文本箱中,不应允许。 当数据库出现错误时,这意味着用户的意见被插入一些查询,然后通过申请加以执行。 在这种情况下,申请很容易被卡片注入。
这些袭击是对数据的重大威胁,因为袭击者可以从服务器数据库获取重要信息。 为了在你的网络应用中检查注射点,从你的代码基数中发现了代码,通过接受一些用户投入,在数据库中直接回答了MySQL.Q。
可在Brockets、Commas和Quotation标志上进行消毒测试。
Password Cracking
这是在进行数据库系统测试时最重要的检查。 为了获取关键信息,黑客可以使用密码摇摆的工具,或可以猜测一个共同用户名/密码。 这些共同密码很容易在互联网上查阅,并且还自由使用密码压制工具。
因此,在系统保持密码政策时,必须检查。 在任何银行和金融应用方面,需要对所有关键信息数据库系统制定严格的密码政策。
Security Audit of Database System
安全审计是定期评估公司安全政策的过程,以确定是否遵守必要的标准。 可以根据商业要求制定各种安全标准,以界定安全政策,然后根据这些标准评估既定政策。
最常见的安全标准有ISO 27001、BS15999等。
Database Security Testing Tools
市场上有各种系统测试工具,可用于测试职业介绍和应用程序检查。 下文将讨论一些最常用的工具。
Zed Attack Proxy
它是在网络应用中发现弱点的渗透测试工具。 它由具有广泛安全经验的人使用,因此对于新进入渗透测试的开发商和功能测试者来说是理想的。 该系统通常用于Windows、LC、MacOS。
Paros
利用这些扫描仪,可以拦截和修改服务器和客户之间的所有吉大港定居和高港定居技术数据,包括厨师和制田。 用于跨平台,Java JRE/JDK 1.4.2或以上。
Social Engineer Toolkit
它是一种公开的来源工具,而人类分子则受到攻击,而不是系统要素。 它使你能够发送载有攻击法的电子邮件、java信片等。 宁愿使用六氯环己烷、 Apple果麦克索文和微软Windows。
Skipfish
这一工具用来扫描其易受感染之处。 该工具生成的报告旨在成为专业网络应用安全评估的基础。 宁愿使用六氯环己烷、自由BSD、MacOS X和Windows。
Vega
它是一个开放源、多功能网络安全工具,用来发现在网络应用中出现注射、交叉校服和其他弱点。 更可取的是Java、Lino和Windows。
Wapiti
蒸汽是一种开放源和基于网络的工具,可以扫描网络应用的网页,并检查能够注入数据的文字和表格。 它建在沙尔,可以发现文件处理错误、数据库、XSS、LDAP和CRLF注射、指挥执行探测。
Web Scarab
它是在 Java撰写的,用于分析通过吉大港山区/吉大港山区议定书进行交流的申请。 这一工具主要针对能够自行撰写编码的开发商。 这一工具并不取决于本组织。
Advertisements