安全测试概述

目录

一、安全测试定义

二、安全测试的目的

三、与普通测试的区别

 四、与渗透测试的区别

五、安全测试应用分类

 六、安全测试要点


一、安全测试定义

安全测试是在软件产品开发基本完成时,验证产品是否符合 安全需求定义产品质量标准的过程。

二、安全测试的目的

  • 提升产品的安全质量
  • 尽量在发布前找到安全问题予以修补降低成本
  • 度量安全
  • 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使其不被非法入侵,不受各种因素的干扰。

三、与普通测试的区别

测试维度
普通测试
安全测试
目标
测试以发现功能缺陷为目标
以发现安全隐患为目标
假设条件
测试假设导致问题的数据是用户不小心造成的,或者是业务代码存在缺陷
假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径
思考域
测试以系统所具有的功能为思考域
不但包括系统的功能,还有系统的机制、外部环境、应用于数据、自身安全风险、与安全属性等
问题发现模式
以违反定义为判断依据
以违反权限与能力的约束为判断依据

 四、与渗透测试的区别

测试维度
渗透测试
安全测试
出发点
以成功入侵系统,证明系统存在安全问题为出发点
以发现系统所有可能的安全隐患为出发点
视角
以攻击者的角度来看待和思考问题
站在防护者角度思考问题,尽量发现所有可能被攻击者利用的安全隐患,并指导其进行修复。
覆盖性
只选取几个点作为测试的目标
在分析系统架构并找出系统所有可能的攻击界面后,进行的具有完备性的测试
成本差异
要点较少,成本相对较低
需要对系统的功能、系统所采用的技术及系统的架构等进行分析,所以较渗透测试需要投入更多的时间和人力。
解决方案
无法提供有针对性的解决方案
站在开发者的角度分析问题的成因,提供更有效的解决方案

五、安全测试应用分类

 六、安全测试要点

  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全测试分类及防范测试方法 1 Web 应用程序布署环境测试 2 1.1HTTP 请求引发漏洞的测试 2 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 2.1.1 SQL注入漏洞攻击实现原理 3 2.1.2 SQL注入漏洞防范措施 4 2.1.3 SQL注入漏洞检测方法 5 2.2 表单漏洞测试 6 2.2.1 表单漏洞实现原理 6 2.2.2 表单漏洞防范措施 6 2.2.3 表单漏洞检测方法 6 2.3 Cookie欺骗漏洞测试 8 2.3.1 Cookie欺骗实现原理 8 2.3.2 Cookie欺骗防范措施 8 2.3.3 Cookie欺骗监测方法 9 2.4 用户身份验证测试 9 2.4.1 用户身份验证漏洞防范措施 9 2.4.2 用户身份验证检测方法 9 2.5 文件操作漏洞测试 9 2.5.1 文件操作漏洞实现原理 9 2.5.2 文件操作漏洞防范措施 10 2.5.3 文件操作漏洞检测方法 10 2.6 Session 测试 11 2.6.1 客户端对服务器端的欺骗攻击 11 2.6.2直接对服务器端的欺骗攻击 11 2.6.3 Session漏洞检测方法 12 2.7 跨网站脚本(XSS)漏洞测试 13 2.7.1 跨网站脚本(XSS)漏洞实现原理 13 2.7.2 跨网站脚本(XSS)漏洞防范措施 13 2.7.3 跨网站脚本(XSS)漏洞测试方法 14 2.8 命令注射漏洞测试 14 2.9 日志文件测试 14 2.10 访问控制策略测试 14 2.10.1 访问控制策略测试方法 14 3 数据库问题测试 15 3.1 数据库名称和存放位置安全检测 15 3.2 数据库本身的安全检测 15 3.3 数据使用时的一致性和完整性测试 15 4 容错测试 15 4.1 容错方案及方案一致性测试 16 4.2 接口容错测试 16 4.3 压力测试 16

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值