软件安全测试

最新推荐文章于 2024-03-22 09:10:44 发布
最新推荐文章于 2024-03-22 09:10:44 发布
阅读量7.6k 收藏 19
点赞数 1
分类专栏: 安全测试 文章标签: 安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44406011/article/details/126725057
版权

安全测试

文章目录

安全测试

安全测试一般围绕被保护的资产,通过代码和程序的分析来确定威胁或漏洞的严重程度,以及被利用的可能性和影响,来评估特定威胁或漏洞对企业造成负面影响的风险。除了综合的安全性风险评估之外,安全性测试一般有几种类型:

安全测试类型

1.漏洞扫描:由工具自动对代码进行静态分析,以识别软件组件中是否存在已知的漏洞。
2.渗透测试:在安全条件下模拟黑客对应用程序/软件/系统或网络进行网络攻击的过程。渗透测试可以发现未知漏洞,如zero-day威胁和商业逻辑漏洞,目前人们应用越来越多的渗透测试工具来完成测试任务。
3.应用程序的安全测试:针对web/Android/IOS移动APP等特定的应用进行测试,包括收集这类应用程序的相关信息,发现系统漏洞或缺陷。
4.API安全测试:识别API和网络服务中的漏洞(如API注入/XML注入等)。API特别容易受到中间人攻击等威胁,如窃听API通信并窃取数据或凭证。
5.配置扫描:一般根据研究机构或合规标准制定的最佳实践列表来检查系统,识别软件/网络和其他计算系统的错误配置的过程。
6.安全审计:根据定义的法规和合规标准/安全要求来审查代码或架构,分析安全漏洞,评估硬件配置/操作系统和组织实践的安全状况。

安全性测试工具分类

1.动态应用安全测试:(DAST)
一般指在测试或运行阶段,使用黑盒方法以发现漏洞的过程,如模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应或动态运行状态,从而确定该应用是否易受攻击,如监测诸如内存损坏/不安全的服务器配置/跨站脚本攻击/用户权限问题/恶意SQL注入和其他关键漏洞等缺陷
如开源的Zed Attack Proxy(ZAP)
优势是可进行逻辑漏洞检测;不分语言和框架,漏洞好复现;
劣势则为漏洞检出率和第三方框架检测效果较差,漏洞详细度较低,使用时入侵性较高,风险程度高。
2.静态应用安全测试:(SAST)
主要通过分析应用的源代码或其编译版本的语法/结构/过程/接口等来发现程序代码存在的安全漏洞
如Klocwork/ Helix QAC/ HCL AppScan等,以及国内的腾讯xcheck/WuKong等
优势是漏洞 检出率和覆盖率高;使用时侵入性小。风险程度低;
劣势是漏洞检测误报高,耗时久
3.交互式应用安全测试(IAST)
通过代理/VPN或者在服务端部署Agent程序,收集/监控应用程序运行时函数执行/数据传输/并与扫描端进行实时交互,高效/准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件/行数/函数及参数,如CodeDx,Checkmark CxlAST等。
IAST相当于DAST和SAST结合的一种互相关联运营时的安全检测技术。
优势是漏洞检测误报率低,检测速度快,漏洞详细度高;
劣势是漏洞检测覆盖度较难以保证,支持的语言和框架被严格限制。
4.软件成分分析(SCA)
通过分析软件包含的一些信息和特征来实现对该软件的识别/管理/追踪的安全检测技术,如Synopsys Black Duck、RedRocket-SCA等
SCA理论上看是一种通用的分析方法,可对任何编程语言对象进行分析,关注的对象是从文件内容,以及文件与文件之间的关联关系以及彼此组合成目标的过程细节,从而获得应用程序的画像-组件名称+版本号,进而关联出存在的已知漏洞清单。
在这里插入图片描述

汪敏wangmin
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
软件系统的安全性测试
10-15
安全性测试方法 ,1. 功能验证 功能验证是采用软件测试当中的黑盒测试方法,对涉及安全软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。 2. 漏洞扫描 安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使 用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从 而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。 3. 模拟攻击 对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的安全防护能力
软件测试——安全测试常见测试方法
weixin_45189665的博客
10-13 2277
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
什么是安全测试
热门推荐
HONGTester的博客
05-28 1万+
安全测试概述,安全漏洞,安全测试特性,加密算法,安全测试常用工具
软件安全测试包含哪些内容?测试流程步骤有哪些?
软件测评闲聊站(howtoseeyou)
03-22 450
5. 安全传输测试:测试软件系统在数据传输过程中是否采用了安全的加密和传输协议,以防止数据在传输过程中被窃取或篡改。2. 认证和授权测试:测试软件系统的认证和授权机制是否能够有效地保护用户的身份和权限,防止未经授权的访问和操作。通过以上步骤,可以全面测试软件系统的安全性能,及时发现和修复安全漏洞,保护软件系统免受各种安全威胁和攻击。7. 安全日志和监控测试:测试软件系统是否能够记录和监控安全事件和异常行为,并及时进行响应和处理。8. 安全评估:对测试结果进行综合评估,评估软件系统的安全性能和安全风险。
超全的安全测试汇总
weixin_44602565的博客
03-10 9666
1.安全测试在做什么? 扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。 2.安全测试者是怎样定位自己的? 我们经常可以从身边的朋友口中听到一些有关安全的名称,向
什么是安全性测试(security testing)?
TestNewton的博客
09-10 5774
安全性测试(securitytesting):就是在软件研发和维护过程中,通过不同的测试方法,发现安全性的问题,包括下列各类问题: 信息泄露、破坏信息的完整性 拒绝服务 非法使用(非授权访问)、窃听 业务数据流分析 假冒、旁路控制 授权侵犯(内部攻击) 抵赖(来自用户的攻击) 计算机病毒、恶意软件 信息安全法律法规不完善 检验系统是否满足安全性要求: 真实性:保证信息来源真实可靠 保密性:确保信息只被授权人访问,信息即使被截取也不能了解信息的真实含义 完整性:保护信息和信息处理方法的准确性和原始性,包括数据
什么是软件安全性测试?
V17319751561的博客
11-17 1568
 一、什么是软件安全性测试   (1)什么是软件安全   软件安全属于软件领域里一个重要的子领域。在以前的单机时代,安全问题主要是操作系统容易感染病毒,单机应用程序软件安全问题并不突出。但是自从互联网普及后,软件安全问题愈加显加突显,使得软件安全性测试的重要性上升到一个前所未有的高度。   软件安全一般分为两个层次,即应用程序级别的安全性和操作系统级别的安全性。应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况 下,操作者只能访问应用程序的特定功能、有限的数据等。操作系统级别的安全性是..
软件安全性能測试(转载)
weixin_33725807的博客
07-07 137
近来,在我负责的公司某软件产品的最后測试工作,经常被问到这样一个问题:在做測试过程中,我们的软件产品在安全性方面考虑了多少?应该怎样測评一个软件究竟有多安全?   这个软件因为涉及客户商业上重要的信息资料,因此用户关心的核心问题始终环绕“这个软件安全吗”。一个因为设计导致的安全漏洞和一个因为实现导致的安全漏洞,对用户的终于影响都是巨大的。我的任务就是确保这个软件安全性方面能满足客户期望。...
软件安全性测试
2301_76161259的博客
03-15 2967
软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不安全软件上市、避免不安全软件受攻击,就显得十分重要。一、软件安全性测试基本概念软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。1.用户程序安全的测试要考虑问题包括:① 明确区分系统中不同用户权限;② 系统中会不会出现用户冲突;
安全测试报告.docx
07-23
源代码,程序安全测试报告模板
WEB安全测试点报告.xlsx
07-09
WEB安全测试点报告,辅助做好系统安全测试
IOS安全测试工具
05-07
IOS安全测试工具、
软件安全测试主要验证点
03-23
软件安全测试主要验证点安全测试主要验证点-tester-测试艺术"style="MARGIN:0px10px0px0px"alt="安全测试主要验证点-tester-测试艺术"src="http://img308.ph.126.net/E5x3skbwPH8a8nDbXb8Rzg==/3901524652186767674.jpg">原文转自:http://www.ltesting.netwindow._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"1","bdMiniList":false,"bdPic":"",
软件安全测试 测试用用例(样例)
05-18
软件测试过程中,功能测试及性能测试的测试用例一般比较多,但安全测试的用例就少一些,这是我日常工作中整理的安全测试用例的样例,与大家分享探讨。
2024软件安全测试.doc
最新发布
04-25
静态代码安全测试(Static Application Security Testing,简称SAST)是一种在软件的编码和设计阶段分析源代码、字节码或二进制文件以识别潜在安全漏洞的技术。这种测试方法不需要运行被测应用程序,可以在软件开发...
软件安全测试报告.pdf
09-29
软件安全测试报告.pdf
软件安全测试用例-登录
08-05
以下是一些针对登录功能的软件安全测试用例示例: 1. 验证合法用户:使用正确的用户名和密码进行登录,确保系统能够成功验证合法用户的身份,并允许其登录。 2. 验证非法用户:使用错误的用户名和密码进行登录,确保系统能够正确地拒绝非法用户的登录尝试,并给出适当的错误提示。 3. 密码安全性:测试系统对于密码的安全性要求,包括密码长度、复杂性要求(如包含字母、数字和特殊字符等)等。 4. 账号锁定:测试系统在多次登录失败后是否会锁定账号,以防止暴力破解攻击。 5. 弱密码检测:测试系统是否能够检测和阻止使用弱密码(如常见的密码、连续字符等)进行登录。 6.会话管理:测试系统在用户登录后如何管理会话,包括会话超时、注销等功能。 7. 跨站脚本攻击(XSS)防护:测试系统是否对输入的用户名和密码进行适当的转义和过滤,以防止XSS攻击。 8. SQL注入防护:测试系统是否对输入的用户名和密码进行适当的过滤和参数化处理,以防止SQL注入攻击。 9. 强制访问控制:测试系统是否正确地实施访问控制策略,只允许授权用户访问相关资源。 10. 多因素身份验证:测试系统是否支持和正确实施多因素身份验证,如短信验证码、指纹识别等。 以上仅是一些示例,具体的测试用例应该根据具体的系统和安全要求进行定制和扩展。同时,还应该考虑其他安全测试方面,如会话劫持、密码重置功能、安全日志记录等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪敏wangmin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值