最近接到关于安全测试的任务,先问了问同在测试行业的一个朋友,安全测试包括系统安全测试和代码安全测试。
先来简单了解下代码安全,通常可以从如下几个方面来审查代码的安全性:
代码以缺省值运行吗?
代码以高优先级运行吗?
代码是否侦听某个网络接口?
网络接口是不可靠的吗?
代码是用C/C++写的吗?
该代码以前是否有历史弱点?
该组件是否由安全研究员做过最终详细审查?
该代码处理敏感或隐私数据吗?
代码是可复用的吗(例如,某个 DLL、C++ 类头文件、库、或程序集)?
很显然,代码安全审查需要审查人员具有一定的编程功底,详细信息可以参阅http://www.51testing.com/html/21/1056.html。一般测试人员普遍关注的是系统安全测试。
系统安全问题中一般包含七个弱点,在这里只把它们一一列出,详细资料可以参阅http://www.djangobook.com/en/2.0/chapter20/(英文)。