分享:关于安全性测试工具小要点

最新推荐文章于 2020-05-17 20:00:30 发布
最新推荐文章于 2020-05-17 20:00:30 发布
阅读量850 收藏
点赞数 1
文章标签: 技术 开发语言 代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011075946/article/details/46472217
版权

有一篇关于安全性测试工具的文章:《Gunfight at The OK Button》。

文中列出了安全测试工具的15个要点:

1、针对源代码,测试出任何类型的弱点。

2、针对二进制文件,例如可执行文件,测试出任何类型的弱点。

3、检测实时系统的问题,像死锁检测、异步行为的问题等。

4、对任何类型的补丁创建基线并进行回归测试,防止引入新的弱点。

5、提供一个机制,确保已经过检查、校验的源代码一旦构建成为可执行文件后,没有被更改。

6、帮助测试人员找到可能触发或隐含恶意代码的地方。

7、提供关于二进制文件的信息,例如哪个本地系统对象被创建了。

8、在软件开发周期中的不同阶段都能应用,检查软件的弱点。

9、尽可能小的错误误差。

10、能处理外国语言的源代码,例如外国语言的注释等。

11、平台兼容性,例如Unix、Linux、Windows等。

12、开发语言兼容性,例如C、C++、ADA、Java等。

13、可以处理大容量的源代码或很大的可执行文件,例如上百万行的代码。

14、不改变被测试的软件,不影响代码。

15、产生有用的诊断、预测和度量分析报告。

文中还分类列出了几款分别满足这些不同要点的安全性测试工具

1、分析检查器、内存泄漏检测工具、二进制代码扫描器(Profilers, checkers,memory-leak detection tools,Binary code scanners)

   开源的:Valgrind (www.valgrind.org)
   商业的:Rational/IBM Purify(www.ibm.com)、

    企业:(safe)http://safe.ijiami.cn/


2、应用程序痕迹检查工具(Application footprinting)
       UNIX 平台:lsof 、strace、ktrace 、truss
    Windows平台:ProcessExplorer

3、模糊测试工具(Fuzz testing tools and techniques (also known as penetration testing))
   Peach Fuzzer Framework (ijiami)http://www.ijiami.cn

4、静态代码分析工具(Static code analyzers)
   开源的:Splint(http://splint.org)
   商业的:PRQA(Programming Research)www.programmingresearch.com、Coverity

   企业的:(Jingpin)http://www.ijiami.cn/Jingpin

u011075946
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
经验分享:水印相机素材设计之要点
03-04
笔者将从设计师的角度出发,以用户调研与使用数据为参考,与大家分享自己在此项目中积攒到的一些心得经验、发现与思考。水印是什么?传统的水印通常是在图片上附加的版权信息、作者信息或防盗图信息,制作者和应用者...
安全性测试关注点
u012467492的专栏
11-23 363
1. sql注入。 2. 数据加密。 3. 文件的上传有没有限制,对特殊类型文件。 4. 表单格式的html能否保存本地,修改后再提交。
1.线程安全知识点
qq_37876078的博客
05-11 212
本章目标 1. 能通过线程内存模型,展示线程安全方面的技能 2. 能在面试中说出Synchronized和各种锁的使用要点 3. 能在面试中综合展示各种线程同步和并发技能 4. 能通过讲述ConcurrentHashMap对象的底层代码,综合展示锁 、volatile、并发控制和集合方面的技能内容提要 • 结合案例,了解线程安全的表现 • 了解线程不安全和线程安全的集合对象 • 从线程的内存模型入手,了解因抢占而导致的线程并发问题 • 如何在面试中全面展示线程安全的相关技能线程安全和线程不安全的...
移动APP安全
Mr__su的博客
07-04 3124
1.评估思路移动APP面临的威胁 风起云涌的高科技时代,随着智能手机和iPad等移动终端设备的普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用的爆炸式增长。在海量的应用中,APP可能会面临如下威胁: 新技术新业务移动APP评估思路 移动APP安全测试实例中,主要通过如下7个方向,进行移动终端APP安全评估: 运营商自动化APP测评
三款主流静态源代码安全检测工具比较
热门推荐
whatday的专栏
01-07 6万+
静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
安全测试需要关注那些要点
03-23
安全测试需要关注那些要点?之前曾简单的介绍了安全测试相关的一些内容,在代码端,我们一般需要做的不多,现在国内比较流行的是FortifySCA来进行代码安全审核。  昨晚英超的双红大战甚是精彩,带走了不少劳累。  ...
移动APP安全测试要点
02-24
在海量的应用中,APP可能会面临如下威胁:在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估:运营商自主开发的自动化APP安全检测工具,通过”地、集、省”三级机构协作的方式...
Concurrent包总结——线程安全的集合操作
diexi5893的博客
08-25 389
java中提供了丰富的集合类操作,大概可以分为无序结合Set,有序集合List和无序键值对集合Map。Java5之后又新增了队列操作集合Queue。Java1.5之后新增了线程安全的集合操作类,阻止在java.util.concurrent包中。本文仅仅探讨该包下面的线程安全的结合操作类。 先看下concurrent包下面线程安全类的类图结构: 1.CopyOn...
语言的静态代码扫描工具
chengxuyuan20100425的专栏
10-27 1827
1.go 语言静态扫描工具        go tool ver src        go语言自带的扫描工具,安装完go后就有 2. php 静态代码扫描        phpmd  安装方法: mac 版本: 1. 前提先安装brew    2.添加php tab:brew tap homebrew/homebrew-php  
WEB安全测试要点总结
mathlpz126的博客
10-23 2万+
一、大类检查点: 大类 细项 上传功能 绕过文件上传检查功能 上传文件大小和次数限制 注册功能 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录功能
关于线程安全的小测试
洛雪
05-17 340
起100个线程 + 1,循环100次查看结果,正常来说应该是100对吧 public static int t = 0; public static void main(String[] args) throws InterruptedException { for (int i=0;i<100;i++){ for (int j=0;j<100;j++){ new Thread(new Runnable()...
知识点——线程安全
weixin_43527766的博客
03-24 89
线程安全就是:在执行多线程的操作的时候,不会产生数据污染,也就是多线程共享数据,并且能有序的执行下去。 线程不安全的情况多出现在操作静态变量或局部变量的时候。 HashTable之所以是线程安全的,是因为它的put方法被synchronized标记。 ...
Web端性能测试和安全测试要点
技术小白
05-21 3870
一、安全测试 (1)SQL注入(比如登陆页面) (2)XSS跨网站脚本攻击:程序或数据库没有对一些特殊字符进行过滤或处理,导致用户所输入的一些破坏性的脚本语句能够直接写进数据库中,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性。   document.write("abc")   <script>alter("abc")&l...
安全性测试的测试点
狂飙兔的博客
10-18 1万+
安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站点请求 发起Blind 请求,模拟合法用户,要求转账等请求 5.不安全对象引用 不安全对象的引入,访问敏感文件和资源,WEB应
安全测试
changNet的专栏
02-24 1574
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
模糊测试工具Sulley开发指南(2)——与Peach比较
CuteKe的专栏
09-28 3735
基于已知漏洞的ftp服务器的漏洞挖掘 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;我们的测试对象是EasyFTP 1.7.0.11,已知漏洞如下(github): 命令 个数 CWD 1 LIST 1 … 11 Peach 简介 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;MichaelW Eddi
安全测试的考虑点及测试方法
xiaof_567的专栏
11-12 5814
软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 1.         明确区分系统中不同用户权限 2.         系统中会不会出现用户冲突 3.         系统会不会因用户的权限的改变造成混乱 4.         用户登陆密码是否是可见、可复制 5.         是否可以通过绝对途径登陆系统(拷贝
安全测试的几个要点
Testfan_zhou的博客
04-07 1951
很多刚入行的甲方安全从业者会因为对安全测试的理解不到位而事倍功半,往往感觉明明做了很多缺又没有什么成效,累了自己,又拿不出成果给领导。那么可以问问自己,你真的了解安全测试吗。 1.知道为什么要测试 执行渗透测试的目的是什么?是满足审计要求?是你需要知道某个新应用在现实世界中表现如何?你最近换了安全基础设施中某个重要组件而需要知道它是否有效?或者渗透测试根本就是作为你定期检查防御健康的一项例行公事?...
什么是兼容性测试,兼容性测试囊括什么要点
最新发布
04-21
兼容性测试是一种软件测试方法,其主要目的是测试软件在不同环境...兼容性测试要点包括:测试不同的操作系统、浏览器、网络环境,测试不同的硬件和软件组合,测试不同的语言和文化环境,测试不同的分辨率和屏幕大小等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值