安全测试概述

根据经验持续修正~~~初稿2016.10.9
安全也是一个抽象的概念，越抽象的概念描述的范围越广。
安全测试对于系统或者软件来说非常重要，因为充分的安全测试发现系统中一部分潜在的漏洞，找到系统易受到攻击的点，并对系统进行加固。一份非常完善的安全测试报告是对软件安全性的一种保障。而测试报告依靠的是什么？是一个个用例的覆盖，是一次次扫描工具的扫描，甚至是模糊渗透测试的反向验证。
安全我想也会有很多种分类方式。

• 操作系统安全，特定软件安全。
• web安全，数据库安全。
• 网络安全，存储安全
• 移动app安全
• 工业控制安全
  -物联网安全

具体而言又包含：
编译安全，
系统服务，
内核参数，
文件权限，
日志审计，
用户口令，
授权认证，
软件完整性校验。
对于一个操作系统而言，其内核参数的配置，能其安全性至关重要。

安全测试工具与方法
fuzzing: peach
Nessus漏洞扫描软件检查

2017.3.3补充
软件安全，不是软件开发完成之后才要考虑的事情，软件安全是要在软件设计阶段就要认真考虑的。而且在软件编码阶段尽量不去使用不安全函数。
软件安全测试，也覆盖于软件的整个生命周期，代码检视是保证软件安全很重要的一部分，通过代码检视可以很容易发现黑盒测试不易发现的命令注入漏洞。
整个软件安全测试的过程，首先根据需求和安全红线设计安全测试方案，（代码检视，工具扫描，fuzz测试，合规检测等）
安全原则：最小权限

2021-12-10补充
安全环境变化了。
高防DDOS、应用防火墙WAF这些都是可以采购的了。
安全测试的目的也发生了变化，等保三级。