[车联网安全自学篇] Android安全之移动安全测试指南「安全测试和SDLC」

已于 2023-02-02 16:23:11 修改
阅读量3k 收藏
点赞数
分类专栏: # Android安全J # Android安全T 文章标签: 信息安全 渗透测试 网络安全
于 2023-02-02 16:21:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/128852540
版权
Android安全T 同时被 2 个专栏收录
16 篇文章 28 订阅 ¥299.90 ¥99.00
订阅专栏
Android安全J
5 篇文章 1 订阅
订阅专栏

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

0x01 前言

尽管安全测试的原则,在最近的历史上没有发生根本性的变化,但是软件开发技术已经发生了巨大的变化。虽然敏捷开发的实践应用,加速了软件开发的速度,但是安全测试人员必须变得更快、更敏捷,同时继续交付值得信赖的软件

下面将重点介绍这种演变,并描述当前的安全测试

0x02 软件开发生命周期中的安全测试

毕竟,软件开发并不是很古老,所以在没有框架的情况下开发的结局很容易观察到。许多开发人员都经历过,随着源代码的增长,需要一套最少量的规则来完成工作的要求

在过去,“瀑布式” (瀑布式开发模式) 方法论是最广泛采用的:开发按预先定义好的顺序的步骤进行。受限于单一步骤,回溯能力是瀑布式方法论的一个严重缺陷。尽管它们有重要的积极特征(例如:提供结构,帮助安全测试人员找到需要努力的地方,清晰和容易理解等),但它们也有消极特征(例如:创建silos、运行缓慢,需要专门的团队等)

瀑布模型(Waterfall Model) 是一个项目开发架构,开发过程是通过设计一系列阶段顺序展开的,从系统需求分析开始直到产品发布和维护,每个阶段都会产生循环反馈,因此,如果有信息未被覆盖或者发现了问题,那么最好 “

了解本专栏 订阅专栏 解锁全文
橙留香Park
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
OWASP Web 安全测试指南 WSTG -Web 安全测试框架 SDLC 测试工作流程
seanyang_的博客
12-04 341
在应用程序开发开始之前,必须定义一个充分的 SDLC,其中每个阶段要有安全措施。安全要求从安全角度定义应用程序的工作方式。必须对安全要求进行测试。在这种情况下,测试意味着测试需求中所做的假设,并测试需求定义中是否存在差距。例如,如果存在一项安全要求,规定用户必须先注册才能访问网站的白皮书部分,这是否意味着用户必须向系统注册,还是应该对用户进行身份验证?确保要求尽可能明确。用户管理认证授权数据保密性Integrity 完整性会话管理。
联网TSP平台软件漏洞分析与安全测试.pdf
07-16
联网TSP平台软件漏洞分析与安全测试.pdf
免费分享[联网安全测试SOP]HackingConnectedCars
a642387165的专栏
02-08 180
联网安全测试&技术交流,联系。
确保软件开发生命周期(SDLC)的安全
qzt961003的博客
06-10 2140
对于SDLC的步骤和不同的项目方法(如瀑布、精益和敏捷)来改变我们对它们的看法存在争议。但是在所有这些方法中,我们在项目开始和每个新功能的开发上基本遵循相同的5个步骤。接下来,我们将分解这些阶段,并一一探索其中具体的安全需求...
甲方安全建设之SDLC落地心得
黑白的博客
07-07 3929
从敏捷里看到了一点,就是虽然都在强调安全左移,但是好像把后面的安全评估与测试做好,也能得个及格分。毕竟实践是检验真理的唯一标准,考验产品安全安全,极大部分都是看能不能黑进来,既然如此,SDLC存在的价值是什么?当看完本文后,我们不妨回到本文的第一句话,为什么要做SDLC?1.不管是对外沟通还是对上沟通,身为一个产品安全人员,如果能做到很熟悉业务,沟通会高效很多,也会更有底气2.融入业务后,会慢慢知道业务的重点是哪些,慢慢识别风险的优先级,哪些业务适合SDLC,哪些业务适合DevSecOps。
DAST 已死,为何业务逻辑安全测试成为焦点
网络研究观
04-21 1489
业务逻辑安全测试无疑将成为确保 API 安全的中心舞台。
Invicti v24.4.0 for Windows - Web 应用程序安全测试
sysin | SYStem INside
04-25 943
Invicti v24.4.0 for Windows - Web 应用程序安全测试
满足功能安全要求的代码测试方案:Parasoft C++test
MaveDiao的博客
07-18 1972
数百条的内建规则——包括MISRA、MISRA2004、全新的MISRAC++标准的实现,HIS源码度量指标、Meyer在《EffectiveC++》以及《EffectiveSTL》等书中推荐的以及来自其它主流源码的准则——有助于从使用不当的C/C++语言识别潜在缺陷,实施最佳编码实践,以及提升代码的可维护性和可重用性。C++test可以轻松地配置为使用不同的执行设置、测试用例以及桩函数以支持在不同环境中的测试(例如不同的持续性集成阶段、测试未完成的系统或测试已完成系统中的某个特定部分)......
app如何进行安全测试
weixin_43886221的博客
04-02 1960
软件安全测试是软件质量保证过程中的一个重要环节,其目的是为了发现、暴露和修复软件系统中可能存在的安全漏洞或弱点,确保系统在遭受恶意攻击时能够有效保护数据的机密性、完整性和可用性。在设计和执行软件安全测试时,测试人员会模拟各种安全威胁和攻击场景,以验证软件在面临这些潜在风险时的安全防护能力。总之,在执行安全测试时,不仅要注重技术手段的有效性,还要充分考虑法律、伦理、风险管理等多个维度,确保整个测试过程既严谨又合规。软件安全测试旨在确保软件产品的整体安全性,并为用户提供一个安全可靠的环境来使用和交互。
2024软件安全测试.doc
04-25
这种测试方法不需要运行被测应用程序,可以在软件开发生命周期(SDLC)的早期阶段进行,帮助开发者发现和修复安全问题。 以下是关于静态代码安全测试的一些关键信息: 1. 定义:SAST是一种白盒测试,它通过分析...
安全软件开发生命周期(S-SDLC)_与业务安全.pdf
09-11
安全软件开发生命周期(S-SDLC)_与业务安全 威胁情报 攻防实训与靶场 web安全 金融安全 安全管理
安全代码审查-S-SDLC安全代码审查.pdf
08-11
S-SDLC 安全代码审查 常见漏洞与防护 业务逻辑安全
软件安全开发指南资料合集.zip
05-24
内容含DevSecOps参考设计指南、软件安全构建成熟度模型、DevSecOps企业实践、Javascript编码安全指南、JAVA代码审计、软件保证成熟度模型、威胁建模、PHP代码审计、阿里Java开发手册、DevSecOps最佳实践、安全编码...
从应用安全风险的角度看待互联网安全.pdf
08-08
联网安全威胁从哪里来? 对互联网危害 互联网的应用系统怎么办? 软件安全保障 OWASP S-SDLC Project 提升软件安全开发意识是基本
安全工具箱必备技术之静态分析安全测试(SAST)
Pokemogo的博客
01-19 1005
有几种技术可以识别软件和系统的漏洞,聪明的组织把它们放在他们的“安全工具箱”中,并使用各种测试工具的组合,包括: 静态分析安全测试(SAST) 动态分析安全测试(DAST) 源成分分析(SCA) 漏洞扫描器 渗透测试 通过自动化工具提高安全性的动机是将软件开发生命周期(SDLC)中尽早识别和修复漏洞的工作左移。当应用程序接近发布时,修复和补救变得更加复杂。图1显示了随着SDLC的进展,修复漏洞的成本如何急剧增加。 图1:随着SDLC的进展,修复漏洞的成本增加。 要深入了解软件安全的经济..
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8241
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
毕业设计MATLAB_执行一维相同大小矩阵的QR分解.zip
05-27
毕业设计matlab
ipython-7.9.0.tar.gz
最新发布
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
python安全测试
09-15
Python安全测试是通过使用Python编程语言来进行系统和应用程序的安全性评估和漏洞扫描的过程。它可以用于执行各种安全测试任务,包括漏洞扫描、渗透测试、代码审计等。 以下是一些常见的Python安全测试工具和库: 1. Metasploit:一个功能强大的渗透测试框架,可以通过编写Python脚本进行自动化渗透测试。 2. Nmap:一个网络发现和安全扫描工具,可以使用Python进行脚本编写来控制和扩展其功能。 3. Scapy:一个强大的网络数据包处理库,可以用于构建自定义的网络扫描和攻击脚本。 4. Requests:一个常用的HTTP库,可以用于发送HTTP请求和与Web应用程序进行交互,用于测试Web应用程序的安全性。 5. Selenium:一个自动化测试工具,可以用于模拟用户在网页上的操作行为,对Web应用程序进行自动化安全测试。 6. PyCrypto:一个密码学库,提供了各种加密算法和工具,可以用于测试和评估加密算法的安全性。 这些工具和库只是Python安全测试领域中的一小部分,还有许多其他有用的工具和资源可供使用。根据具体的需求,选择合适的工具和技术来进行安全测试是很重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值