安全测试概述

已于 2022-09-21 22:15:15 修改
阅读量729 收藏 6
点赞数
分类专栏: 安全测试 文章标签: 安全性测试
于 2022-09-15 18:06:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38571773/article/details/126876747
版权

目录

一、安全测试定义

二、安全测试的目的

三、与普通测试的区别

 四、与渗透测试的区别

五、安全测试应用分类

 六、安全测试要点

一、安全测试定义

安全测试是在软件产品开发基本完成时,验证产品是否符合 安全需求定义产品质量标准的过程。

二、安全测试的目的

  • 提升产品的安全质量
  • 尽量在发布前找到安全问题予以修补降低成本
  • 度量安全
  • 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使其不被非法入侵,不受各种因素的干扰。

三、与普通测试的区别

测试维度
普通测试
安全测试
目标
测试以发现功能缺陷为目标
以发现安全隐患为目标
假设条件
测试假设导致问题的数据是用户不小心造成的,或者是业务代码存在缺陷
假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径
思考域
测试以系统所具有的功能为思考域
不但包括系统的功能,还有系统的机制、外部环境、应用于数据、自身安全风险、与安全属性等
问题发现模式
以违反定义为判断依据
以违反权限与能力的约束为判断依据

 四、与渗透测试的区别

测试维度
渗透测试
安全测试
出发点
以成功入侵系统,证明系统存在安全问题为出发点
以发现系统所有可能的安全隐患为出发点
视角
以攻击者的角度来看待和思考问题
站在防护者角度思考问题,尽量发现所有可能被攻击者利用的安全隐患,并指导其进行修复。
覆盖性
只选取几个点作为测试的目标
在分析系统架构并找出系统所有可能的攻击界面后,进行的具有完备性的测试
成本差异
要点较少,成本相对较低
需要对系统的功能、系统所采用的技术及系统的架构等进行分析,所以较渗透测试需要投入更多的时间和人力。
解决方案
无法提供有针对性的解决方案
站在开发者的角度分析问题的成因,提供更有效的解决方案

五、安全测试应用分类

 六、安全测试要点

shines_m
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全基础--22--安全测试
武天旭的博客
10-04 3万+
一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在了解现状和基本需求的情况下,定义业务系统的基础安全配置要求,配置要求内容和具体产品相关 业务安全配置评估 辨析不同业务系统的安全需求,在已形成的基础安全配置评估上...
到底什么是安全测试
weixin_68789096的博客
04-20 298
Web安全就是要让软件面对敌意和恶意输入时,仍然可以充分知足需求。Web安全性测试是有关验证Web应用的安全服务和识别潜在安全性缺陷的过程。WEB应用程序的基本安全原则:(全部用户输入均不可信!
2024做安全测试必须要知道的几种方法!
最新发布
测试界的彭于晏的博客
04-28 862
安全性测试(Security Testing)是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程,其主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,安全指标不同,测试策略也不同。但安全是相对的,安全性测试并不能最终证明应用程序是安全的,而只能验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。例如,测试应用软件在防止非授权的内部或外部用户的访问或故意破坏等情况时的运作。
安全测试概述和用例设计
VN520的博客
04-18 567
通过对系统进行精心、全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,确保系统的安全性。系统级别:包括对操作系统的目录或远程访问,主要核实具备系统和应用程序访问权限的操作者才能访问系统和应用程序。:理论上来讲,只要有足够的时间和资源,没有无法进入的系统。因此,系统安全设计的准则是使非法侵入的代价超过被保护信息的价值。应用程序级别:包括对应数据或业务功能的访问,核实应用程序的用户权限只能操作被授权访问的那些功能或数据。根据不同的安全测试类型,需要采用不同的测试方法来对测试项进行验证。
安全测试的重要性
chengxuyuznguoke的博客
03-20 289
安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。安全测试目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题。
软件安全测试-软件安全测试概述
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-06 2888
关于安全的重要性以及安全意识到底有多重要,咱们从2021年互联网历史上破坏力最惊人漏洞之一Log4j漏洞讲起,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。从爆发至今,Log4j漏洞影响的严重性、广泛性已经在各领域开始显现,并不断加大。简单点说,黑客可以恶意构造特殊数据请求包payload触发漏洞,从而可以在目标服务器上执行任意代码,导致服务器被黑客控制。
软件测试中Web安全测试概述及WEB的多多少少
03-23
WEB概述软件测试中Web安全测试概述及WEB的多多少少1.web应用安全与系统安全能取得某个系统的完全使用权是黑客的终极目标,而且这也是危害性最大的漏洞,因此操作系统,数据库,底层网络设备,各种系统配置和管理方面...
测试概述1
08-08
测试执行可以由开发人员、用户或第三方进行,特别关注如国际化、兼容性和安全性等特殊领域。 白盒测试,又称结构测试,是基于代码逻辑进行的测试。静态白盒测试包括桌面检查、代码走查和代码审查,它们可以在不执行...
应用程序安全介绍 – 概述2.pdf
10-06
这里,我们将讨论应用程序安全的基础知识,包括应用程序安全的重要性、常见的安全漏洞、安全测试和加固方法等。 应用程序安全的重要性 在软件开发中,安全性是一个非常重要的方面。然而,许多软件开发相关的课程...
应用程序安全介绍 - 概述.pdf
10-06
应用程序安全介绍 - 概述 应用程序安全是指保护软件应用程序免受恶意攻击和未经授权的访问的实践和技术。它涉及到多个方面,包括网络安全、加密、身份验证、授权、输入验证、错误处理、日志记录等。 在应用程序...
WEB应用安全测试指南1
08-08
目录一. 概述 81.1 编写目的 81.2 适用范围 81.3 注意事项 8二. Web应用安全测试指南 82.1 信息泄漏 82.1.1 robots.tx
软件安全性测试总结
02-22
安全性测试从冷门的话题,随着国内各大知名网站频繁被攻击,重要社区用户信息被泄露,逐步被各方所重视。而具体怎么做软件安全性测试,防止骇客有机可乘,国内普遍处于才起步的状态。今天笔者就自己的经验,系统总结了我所了解和掌握的安全测试,希望抛砖引玉,让更多更好的软件安全测试技术、经验被分享出来,供大家交流、学习,让我们的安全测试迈步起到一定的推动作用。(更多内容你可以微信关注:ceshibuluo)
安全性测试总结.ppt
01-19
安全性测试目的 安全性测试内容 安全性测试方法 详尽的说明 1.应用程序安全测试 2.操作系统安全测试 3.数据库安全测试 4.IIS服务器安全测试 5.网络环境安全测试
WEB安全测试分类及防范测试方法.docx
12-18
WEB安全测试分类及防范测试方法 1 Web 应用程序布署环境测试 2 1.1HTTP 请求引发漏洞的测试 2 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 2.1.1 SQL注入漏洞攻击实现原理 3 2.1.2 SQL注入漏洞防范措施 4 2.1.3 SQL注入漏洞检测方法 5 2.2 表单漏洞测试 6 2.2.1 表单漏洞实现原理 6 2.2.2 表单漏洞防范措施 6 2.2.3 表单漏洞检测方法 6 2.3 Cookie欺骗漏洞测试 8 2.3.1 Cookie欺骗实现原理 8 2.3.2 Cookie欺骗防范措施 8 2.3.3 Cookie欺骗监测方法 9 2.4 用户身份验证测试 9 2.4.1 用户身份验证漏洞防范措施 9 2.4.2 用户身份验证检测方法 9 2.5 文件操作漏洞测试 9 2.5.1 文件操作漏洞实现原理 9 2.5.2 文件操作漏洞防范措施 10 2.5.3 文件操作漏洞检测方法 10 2.6 Session 测试 11 2.6.1 客户端对服务器端的欺骗攻击 11 2.6.2直接对服务器端的欺骗攻击 11 2.6.3 Session漏洞检测方法 12 2.7 跨网站脚本(XSS)漏洞测试 13 2.7.1 跨网站脚本(XSS)漏洞实现原理 13 2.7.2 跨网站脚本(XSS)漏洞防范措施 13 2.7.3 跨网站脚本(XSS)漏洞测试方法 14 2.8 命令注射漏洞测试 14 2.9 日志文件测试 14 2.10 访问控制策略测试 14 2.10.1 访问控制策略测试方法 14 3 数据库问题测试 15 3.1 数据库名称和存放位置安全检测 15 3.2 数据库本身的安全检测 15 3.3 数据使用时的一致性和完整性测试 15 4 容错测试 15 4.1 容错方案及方案一致性测试 16 4.2 接口容错测试 16 4.3 压力测试 16
网站类安全测试流程规范
05-17
此文档的主要作用是对测试工程师在测试过程中的安全测试进行指导。 安全测试过程包括测试工程师对安全测试范围的界定、安全工程师的代码安全审核、测试工程师验证及测试测试工程师目前主要采用两种方法做安全测试,一种是采用自动化安全工具Hatrix扫描测试,自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection,一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试验证,两者的区别主要就是针对的漏洞类型不同。
什么是安全测试?一文教会你如何开展系统安全测试
deerxiaoluaa的博客
05-31 2547
软件测试是对项目研发过程产物(文档、代码、程序等)进行审查,保障产品质量的过程。软件测试测试内容上可以分为功能测试、性能测试安全测试、兼容性测试等等。其中,安全测试是当今互联网产品的一项重要测试。那么,什么是安全测试?应该如何开展安全测试呢? 一、安全测试的前世今生 1945年12月, 在宾夕法尼亚大学摩尔电气工程学院,占地1500 平方英尺,重达30吨的世界上第一台全电子数字计算机ENIAC诞生。不过,那时的计算机输入还是卡片带,谈不上编程语言。随着第一代电子的计算机诞生,出现了机器语言和
安全测试目的,发现哪些问题
weixin_34087301的博客
03-21 1546
sql注入、Xss攻击、命令注入、CSRF攻击、上传漏洞、解析漏洞等 设计安全,比如密码是不是明文、数据库连接是不是加密了漏洞扫描,可以用IBM Appscan模拟攻击,查看系统漏洞还可以结合硬件环境进行安全性测试,比如防火墙、数据库服务器位置等等 转载于:https://www.cnblogs.com/zyy98877/p/8618031.html...
安全测试面试常见客观题怎么回答?
ysxjy2020的博客
01-04 3342
一、安全测试的好处? 如果黑客利用了系统安全漏洞,对系统进行攻击导致而成,从而导致损失的代价也是不言而喻的。安全测试的好处有如下几个方面: 提升产品的安全质量; 尽量在发布前找到安全问题予以修补降低成本; 度量安全等级(安全测试和找bug一样,我们不可能把系统所有的安全问题都能找到并解决,通过安全测试,我们可以大体的估计系统的安全等级); 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵,不受各种因素的干扰。 二、安全测试能发现哪些问题? 安全测试是建立在功能测试
『软件测试6』bug一两是小事,但安全漏洞是大事!
moandaylab
06-12 2971
详解软件测试中的安全测试一、安全测试概念1、安全测试概述2、安全测试与软件生命周期的关系3、常规测试安全测试的不同(1)测试目标不同(2)假设条件不同(3)思考领域不同(4)问题发现模式不同二、安全测试基本原则1、培养正确的思维方式2、尽早测试和经常测试3、选择正确的测试工具4、尽可能测试源代码5、测试结果文档化三、常见安全漏洞1、SQL注入(1)定义(2)案例(3)如何防范SQL注入2、XSS跨站脚本攻击(1)XSS命名(2)定义(3)xss攻击过程(4)如何防御3、CSRF跨站
车载软件测试策略概述
04-17
6. 安全测试安全测试是为了验证车载软件的安全性和防护能力。这包括对软件的漏洞、攻击和数据安全等方面进行测试。 7. 兼容性测试:兼容性测试是为了验证车载软件在不同硬件平台、操作系统和网络环境下的兼容性。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值