什么是安全性测试(security testing)?

最新推荐文章于 2024-05-24 14:22:20 发布
最新推荐文章于 2024-05-24 14:22:20 发布
阅读量5.9k 收藏 10
点赞数 1
分类专栏: 软件测试 文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TestNewton/article/details/120226476
版权

安全性测试(securitytesting):就是在软件研发和维护过程中,通过不同的测试方法,发现安全性的问题,包括下列各类问题:
信息泄露、破坏信息的完整性
拒绝服务
非法使用(非授权访问)、窃听
业务数据流分析
假冒、旁路控制
授权侵犯(内部攻击)
抵赖(来自用户的攻击)
计算机病毒、恶意软件
信息安全法律法规不完善
检验系统是否满足安全性要求:
真实性:保证信息来源真实可靠
保密性:确保信息只被授权人访问,信息即使被截取也不能了解信息的真实含义
完整性:保护信息和信息处理方法的准确性和原始性,包括数据的一致性,防止数据被非法用户篡改
可用性:确保授权的用户在需要时可以访问信息
不可抵赖性:用户对其行为不可否定
可追溯性(Accountability):确保实体的行动可被跟踪
可控制性:对信息的传播及内容具有控制能力
可审查性:对出现的网络安全问题提供调查的依据和手段 
常用的测试方法有:
基于模型的安全功能测试
基于故障注入的安全性测试
模糊测试(FuzzTesting)
基于白盒的安全测试
威胁模型与攻击树理论
形式化安全测试方法
语法测试
基于属性的测试
动态污点分析方法(DynamicTaintAnalysis)
基于风险的安全测试

双晨传奇科技(牛顿it学院)
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件测试——安全测试常见测试方法
weixin_45189665的博客
10-13 4168
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
WEB安全性测试分析
03-23
安全性测试(securitytesting)是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。注意:web安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设...
如何进行安全性测试?
yyj173637的博客
04-08 1171
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中做到“有的放矢”,及时修补漏洞。
软件测试:安全测试常见测试方法
最新发布
OKCRoss的博客
05-24 1317
如常见的bd和mm程序经常以.exe文件的形式存在,对于一些恶意软件的可执行文件,如果不进行限制,就可能在用户不知情的情况下被上传和执行,进而造成系统被gj、数据泄漏等严重后果。通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。
什么是软件安全性测试?安全测试有哪些测试方法和手段
weixin_68789096的博客
04-19 2508
安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。
软件安全测试-软件安全测试概述
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-06 2917
关于安全的重要性以及安全意识到底有多重要,咱们从2021年互联网历史上破坏力最惊人漏洞之一Log4j漏洞讲起,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。从爆发至今,Log4j漏洞影响的严重性、广泛性已经在各领域开始显现,并不断加大。简单点说,黑客可以恶意构造特殊数据请求包payload触发漏洞,从而可以在目标服务器上执行任意代码,导致服务器被黑客控制。
安全测试的几种方法
VN520的博客
04-19 1157
安全渗透测试:由专业安全人员模拟黑客,从其可能存在的位置对系统进行攻击测试,在真正的黑客入侵前找到隐藏的安全漏洞,从而达到保护系统安全的目的1、有针对性的测试:开灯测试测试人员完全了解系统内部情况下开展的测试2、外部测试3、内部测试4、盲测5、双盲测试1、规划和侦察2、安全扫描:静态分析和动态分析3、获取访问权限:测试人员模拟黑客对应用程序进行攻击4、维持访问权限:查看被发现的漏洞是否可以长期存在于系统中5、入侵分析:将测试结果汇总成测试报告。
安全性测试:安全测试的常用方法你一定不知道
manbskjabgkb的博客
06-14 171
安全性测试(SecurityTesting)是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程,其主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,安全指标不同,测试策略也同但安全是相对的,安全性测试并不能最终证明应用程序是安全的,而只能验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。例如,测试应用软件在防止非授权的内部或外部用户的访问或故意破坏等情况时的运作。
Cybersecurity Testing and Validation
08-15
因此,需要对安全性测试的范围和深度进行评估,并将其与安全性要求、目标和完整性水平相协调。 在汽车电子系统中,功能安全性安全性是两个独立的领域。ISO 26262国际标准已经成为了功能安全性的一个重要标准,而...
OWASP Mobile Security Testing Guide:移动应用安全开发与测试手册-开源
08-07
它可供寻求开发安全移动应用程序的移动软件架构师和开发人员以及安全测试人员使用,以确保测试结果的完整性和一致性。 清单可用于基于 MASVS 和 MSTG 的安全评估,并包含指向每个要求的 MSTG 测试用例的链接。
awesome-security-testing:很棒的安全测试
05-14
很棒的安全测试 很棒的安全性测试资源的集合指数[资源和数据库](#资源和数据库)[超赞列表](#超赞列表)是旨在揭示信息系统安全机制中的缺陷的过程,该缺陷可以保护数据并按预期维护功能。 由于安全测试的逻辑...
web安全性测试总结
11-28
sql注入:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串 示例:在查询中输入字符串 ' or 1=1 --
testing_security_development_enterprise_systems:企业系统的测试安全性和开发
01-30
企业系统的测试安全性和开发 该存储库包含一组与企业系统的测试安全性和开发有关的示例。 当前,该存储库专注于Java / Kotlin,以诸如Spring和Java EE之类的框架为目标。 该存储库中的材料在大学的两个大学级...
安全测试概述和用例设计
VN520的博客
04-18 595
通过对系统进行精心、全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,确保系统的安全性。系统级别:包括对操作系统的目录或远程访问,主要核实具备系统和应用程序访问权限的操作者才能访问系统和应用程序。:理论上来讲,只要有足够的时间和资源,没有无法进入的系统。因此,系统安全设计的准则是使非法侵入的代价超过被保护信息的价值。应用程序级别:包括对应数据或业务功能的访问,核实应用程序的用户权限只能操作被授权访问的那些功能或数据。根据不同的安全测试类型,需要采用不同的测试方法来对测试项进行验证。
Security testing
小薇薇的自留地
12-21 667
最近在为一个网站做security testing, security小白对这类问题总结如下: 1. SQL injection 这类injection可以在text box或者url里面插入sql语句,比如 '; DROP TABLE USER; - -  已有工具可供使用,如sqlmap 2. XSS  预防XSS可通过加入header,具体参考content-security-p
菜鸟浅谈——web安全测试
热门推荐
u010559128的博客
02-27 5万+
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
spring-security单元测试
qq_34796981的博客
07-28 1459
1、简介 spring-security进行单元测试,从而自动化测试埋下伏笔。也无需频繁在在浏览器进行测试,也加快了开发人员的调试速度。 2、无验证单元测试 由于spring-security进行的都是安全方面的校验,而与实际的逻辑并没有太大关系。 如果单单想测试逻辑的可靠性,那么可以使用MockMvc来进行测试,这样大大减少了测试成本。 代码 @RunWith(SpringRunner.class) @SpringBootTest public class SpringSecurityTest {
软件测试方法有哪些?含义分别是什么?
05-02
6. 安全测试Security Testing):这种测试方法主要关注软件的安全性,如漏洞、风险、非法入侵等。测试人员需要测试软件的安全性能,以确保软件能够抵御各种攻击。 7. 兼容性测试(Compatibility Testing):这种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值