本文介绍了软件安全性测试的重要性和方法,包括了解黑客的动机、威胁模式分析、软件安全功能探讨,重点讲解了缓冲区溢出的概念及安全字符串函数的使用,最后提及计算机取证在安全测试中的作用,强调潜在数据和存储损耗带来的安全风险。
了解针对想象中是安全的计算机系统和数据,如何发现被黑客突破的安全缺陷。
一、了解动机
- 安全产品:是指产品在系统的所有者或管理员的控制下,保护用户信息的保密性、完整性、可获得性,以及处理资源的完整性和可获得性。
- 安全漏洞:是指产品不可行的缺陷——即使是正确地使用产品时——来防止攻击者窃取系统的用户权限、调节操作、破坏数据,或建立未授权的信任。
- 黑客:是指精通计算机编程和使用的人,电脑玩家。使用编程技能来获得对计算机网络或文件的非法访问的人。
黑客想活的系统访问权限的5个动机是:
- 挑战/成名。最简单和良性的黑客攻击是,纯粹为了挑战性的任务或在黑客同行中形成成功者的威望进而攻进一个系统。
- 好奇。在这种心理下,黑客不会停止在仅仅获得访问权限上。好奇是动机,黑客会在系统中找有兴趣的东西。一个软件系统可能有安全漏洞使黑客获得访问权限(处于挑战/成名的动机),但是其实安全度仍然足以阻止黑客对任何有价值数据的进一步访问。
- 使用/借用。黑客为了自己的目的会尝试使用系统。
- 恶意破坏。一想到恶意破坏,请记住3个D:丑化(Defacing),破坏(Destruction)和拒绝服务(denial of service)。丑化是改变网络的外观来展示黑客的意见和想法。破坏以删除或者修改存储在系统上的数据为表现形式。拒绝服务是组织或妨碍被黑的系统执行正常的操作。
- 偷窃。动机在于找出可以使用和出卖的有价值的东西。
二、威胁模式分析
威胁模式分析 :在这个过程中,目的是由评审小组查找产
最低0.47元/天 解锁文章
4288
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
