軟件安全測試介紹

第第頁軟件安全測試介紹軟件安全測試介紹

發(fā)表于：2023-07-13來源：：點(diǎn)擊數(shù)：標(biāo)簽：網(wǎng)站安全測試軟件

軟件安全測試介紹網(wǎng)站安全測試軟件安全在當(dāng)今互聯(lián)網(wǎng)應(yīng)用普及的今天，軟件的安全性是越來越被重視。如何保證軟件應(yīng)用的安全性，在軟件測試過程中的安全性測試就尤為顯得重要了。那么什么是軟件安全呢？軟件安全總是與被保護(hù)的信息和服務(wù)、攻擊者的技術(shù)

軟件安全測試介紹網(wǎng)站安全測試

軟件安全在當(dāng)今互聯(lián)網(wǎng)應(yīng)用普及的今天，軟件的安全性是越來越被重視。如何保證軟件應(yīng)用的安全性，在軟件測試過程中的安全性測試就尤為顯得重要了。那么什么是軟件安全呢？軟件安全總是與被保護(hù)的信息和服務(wù)、攻擊者的技術(shù)和資源、潛在的保證安全方法的開銷有關(guān)系。安全是風(fēng)險(xiǎn)管理的一個(gè)鍛煉，風(fēng)險(xiǎn)分析，尤其是在設(shè)計(jì)層面的風(fēng)險(xiǎn)分析可以幫助我們只別潛在的安全問題和他們的影響。通過識別和鎖定軟件風(fēng)險(xiǎn)，可以幫助和指導(dǎo)軟件安全測試。軟件可能被攻擊的弱點(diǎn)都存在哪里呢？軟件安全的弱點(diǎn)是有很多種類型，安全弱點(diǎn)在軟件系統(tǒng)中分布在從軟件的本地實(shí)現(xiàn)錯(cuò)誤，至交互過程接口錯(cuò)誤，到更高層的設(shè)計(jì)層面錯(cuò)誤。軟件弱點(diǎn)大致分布在兩個(gè)范疇——在實(shí)現(xiàn)層的bug和設(shè)計(jì)層面的缺點(diǎn)。

風(fēng)險(xiǎn)管理和安全測試：軟件安全工人員執(zhí)行很多不同的任務(wù)去管理軟件安全風(fēng)險(xiǎn)，包括：

●創(chuàng)建安全的abuse/misuse用例

●列出正常的安全需求

●執(zhí)行架構(gòu)風(fēng)險(xiǎn)分析

●建立基于風(fēng)險(xiǎn)的安全測試計(jì)劃

●運(yùn)用靜態(tài)分析工具

●執(zhí)行安全測試

●執(zhí)行滲透測試在最終環(huán)境

●清理安全破壞后的環(huán)境

其中架構(gòu)風(fēng)險(xiǎn)分析基于風(fēng)險(xiǎn)的安全測試計(jì)劃和安全測試是尤其緊密相關(guān)聯(lián)的三個(gè)部分。

如何執(zhí)行安全測試：誰去做安全測試，因?yàn)榘踩珳y試包括兩種方法，誰去做這個(gè)問題有兩種答案。標(biāo)準(zhǔn)測試組織用上寫方法能夠執(zhí)行功能安全測試。例如確認(rèn)訪問控制方法是否正常工作的測試就是一類功能安全測試。另一個(gè)方面，傳統(tǒng)QA人員去執(zhí)行基于風(fēng)險(xiǎn)的安全測試是很困難的，問題是安全測試是一個(gè)專門知識。首先安全測試的困難是測試設(shè)計(jì)者必須用一個(gè)攻擊者的思維去思考。第二，安全測試不經(jīng)常導(dǎo)致直接的安全業(yè)績和顯示出被發(fā)掘的問題。所以說基于風(fēng)險(xiǎn)的安全測試依賴于更多專門的知識和更多的經(jīng)驗(yàn)。

怎么去做安全測試：把自己想象一個(gè)攻擊者，按攻擊者的思路去設(shè)計(jì)測試。白盒，黑盒測試和分析方法兩者都是去理解軟件，但是他們用不同的方法依區(qū)別是否分析人員和測試者已經(jīng)訪問源代碼。白盒測試分析包括分析和理解源代碼和設(shè)計(jì)。他是非常典型和有效的發(fā)現(xiàn)程序錯(cuò)誤的方法（bug-自動掃描代碼，缺點(diǎn)-做風(fēng)險(xiǎn)分析）。黑盒分析是通過輸入不同輸入值，來分析到正在運(yùn)行的程序。這種測試只需要運(yùn)行程序，不需要分析源代碼在安全范例中，惡意的輸入是一個(gè)有效的方法去破壞程序。如果程序真的被破壞了，那么我們可能真的發(fā)現(xiàn)了一個(gè)安全問題。只要測試人員能提供可能的輸入并且能觀察到測試效果，那么黑盒測試就可行。

常見的安全測試技術(shù)：

1．網(wǎng)絡(luò)掃描：

2．弱點(diǎn)掃描

3．密碼破解

4．日志檢查

5．文件