安全测试之“十万个为什么?”

2018年7月5日 3.64k 次阅读 4 条评论 0 人点赞

互联网网络安全事故是什么?

说到互联网安全事故,真的想哭。因为使我立刻想起2017年的比特币勒索病毒小名叫WannaCry,大名叫Wanna Decryptor。一种“蠕虫式”的勒索病毒 ,让我联想到身边很多同事的电脑中招,大家都在为这个事故忙的应接不暇,所以笔者真的是很想哭。

security_test.jpg

黑客利用美国安全局泄露的泄露的危险漏洞“EternalBlue”(艺名:永恒之蓝)进行传播,黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。此次安全事故是一场全球性的互联网灾难,给广大计算机用户造成了巨大的损失。

同样历年来影响比较大,造成经济损失比较大的互联网安全事故还有很多,例如熊猫烧香灰鸽子等病毒的传播,大家可以跳转百度百科链接去了解。

软件安全是什么?

从互联网安全事故来看,互联网安全事故会导致经济损失,设备故障,网络瘫痪,影响工作等带来一系列的弊端。所以软件安全在这些年来被越来越多的企业或者软件开发人员所重视。

软件安全属于软件行业里面一个很重要的领域。针对于单个用户来说,计算机操作系统,应用程序容易感染病毒 。然后单个用户独立的计算机来说安全问题并不冲突。随着互联网时代的发展,软件安全问题愈加突显,使软件安全性的重要性上得到了很大的重视。

软件安全根据层次划分:操作系统级别的安全性和应用程序级别的安全性

操作系统级别的安全性,只有授权登陆或远程登陆系统平台的用户才有权限访问系统平台。应用程序级别的安全性,包含对数据或业务功能的访问,在对应的权限等级下,用户只能访问应用程序的指定的功能、规定的数据等。

安全测试是什么?

安全性测试 英文名:Security Testing

安全性测试是指验证相关应用程序的安全等级和找出软件本身潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件程序本身在设计中存在的安全隐患,并检查应用程序对非法入侵的防范能力, 根据安全指标不同测试策略也不同。

安全性测试不同于通常来说的软件功能测试,软件功能测试的目的是查找Bug,而安全性测试是查找软件程序本身在设计中存在的安全隐患。

注意:安全性测试用于验证测试者设立的测试策略的有效性,安全性测试并不能完全证明应用程序最终是安全的。

这些测试策略是基于威胁分析阶段所做的条件假设而设置的。例如,测试应用软件在防止非授权的用户在访问或故意破坏系统的时候是怎么运作的。

安全测试有哪些检查点?

安全性测试的实施,需要基于威胁分析方面考虑设置检查点,同时该阶段也是测试案例的设计阶段。

一个优秀的测试策略的设计方案,可以发现更多的软件安全方面存在的安全隐患;

常见的web安全检查点有:

security_tabel

安全测试有哪些测试方法?

web安全性测试有哪些方法呢:

静态的代码安全测试: 使用工具通过对源代码进行相关的安全性扫描。程序中数据流、控制流、语义等信息软件安全规则库是否匹配。静态的源代码安全测试可以在编码阶段就会发安全隐患,该方法适用于早期代码开发阶段。

动态的渗透测试: 使用自动化工具或者人工的方法模拟黑攻击者的输入 ,对应用系统进行攻击性测试。通过该方法找到安全性隐患。

扫描程序数据 :扫描程序数据通常做的是内存测试,查看冲区溢出之类的漏洞。例如,使用工具软件运行时的内存信息进行扫描,查看是否存在安全性隐患。

安全测试常用工具有哪些?

端口扫描器:Nmap

网络漏洞扫描器:Acunetix

漏洞监测工具:Metasploit

取证工具:Maltego

网络漏洞扫描器:OWASP Zed

网络分析工具:Wireshark

网络漏洞扫描器:Burp Suite

密码破解工具:THC Hydra

密码破解工具:John The Ripper

备注:点击工具名称可以直接跳转到官网,前提是你的计算机可以科学上网。

风里云里,我在这里等你!

文章评论(4)

  • instagram takipçi satın al

    begeni satin al

    2019年11月18日
  • handsome

    good

    2018年7月6日