目录
一.软件安全测试概述
软件安全测试概述分为 应用软件的安全性测试 和 系统级别的安全性测试。
(1)什么是安全漏洞?
威胁到系统安全的就叫漏洞。
(2)安全漏洞有哪些危害?
①系统完整性:非法篡改破坏数据完整性;
②系统可用性:破坏系统或者网络,导致服务不可用;
③系统机密性:泄露个人或者企业的隐私信息;
④系统可靠性:造成系统不能正常提供有效服务。
(3)软件安全测试有些方法?
①代码安全性测试
主要通过对源代码进行安全扫描,根据程序中的数据流、控制流、语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞。
②渗透测试
主要使用自动化工具或者人工的方法模拟黑客的输入,对应用系统进行攻击性测试,从中找出运行时刻所存在的安全漏洞。
③程序数据扫描
数据扫描的手段通常是进行内存测试,内存测试可以发现许多诸如缓冲区溢出之类的漏洞,而这类漏洞使用除此之外的测试手段都难以发现。
(4)软件安全测试的内容有哪些?
①功能验证
对涉及到安全的软件功能进行有效性验证,如管理模块、权限模块、加密系统、认证系统等。
②漏洞扫描
安全漏洞扫描主要是借助于特定的漏洞扫描器完成的,系统管理员能够发现系统存在的安全漏洞。
③模拟攻击
这是一组特殊的极端的测试方法,以模拟攻击方式来验证软件系统的安全防护能力。
④侦听技术
也称网络监听,可以获取网络上传输的信息,如果从获取的信息中提取到系统的隐私数据,就存在安全性问题。
二.web安全测试概述
(1)web安全测试范围
web服务器应用的安全;
web服务器周边应用安全;
服务器本身及网络环境安全;
网络程序安全。
(2)web安全测试分类
web安全性包括但不限于下面几个部分内容。做好系统、数据库、服务器配置的安全策略,提高整体的安全防护等级,这个才是web安全测试的最终目的。
①认证与授权。
②session与cookie。
③DDOS拒绝服务攻击。
④文件上传漏洞。
⑤XSS跨站攻击。
⑥SQL注入。
(3)web安全测试的四要素
机密性、完整性、可靠性、可用性
web安全测试的测试载体是网络协议,而日常生活中最常见的网络协议是HTTP协议。