软件安全是一个广泛而复杂的主题,想要完全避免软件安全漏洞是不切实际的,但大部分软件安全漏洞都可以通过安全测试来发现和修复。下面介绍一些安全测试的原则,遵循这些原则可以避免安全测试中很多常见问题的出现。
1.培养正确的思维方式
只有跳出思想束缚才能成功执行安全测试,常规测试只需要覆盖目标软件的正常行为,而安全测试人员需要有创造性的思维。创造性思维可以帮助我们从攻击者的角度思考各种突发情况,同时可以帮助我们猜测开发者是如何开发的,如何绕过程序保护逻辑,以某种不安全的行为模式导致程序失败。
2.尽早测试
安全漏洞与普通漏洞没有区别,越早发现维修成本越低。为此,首要任务是在软件开发的早期阶段就常见的安全问题对开发和测试团队进行培训,并教他们如何检测和修复安全漏洞。虽然新兴的第三方库、工具和编程语言可以帮助开发者设计更安全的程序,但新的威胁不断涌现,开发者最好意识到新的安全漏洞对正在开发的软件的影响,测试人员必须转变思维方式,从攻击者的角度测试应用程序,使软件更加安全。
3.选择合适的测试工具
在很多情况下,安全测试需要模拟黑客对软件系统发起攻击的行为,以确保软件系统具有扎实的防御能力。模拟黑客行为需要安全测试人员善于使用各种工具,如漏洞扫描工具、模拟数据流量的前后端相关工具、数据包捕获工具等。市场上有很多安全扫描器或应用防火墙工具可以自动执行许多日常安全任务,但这些工具并不是万能的。作为测试人员,确切地知道这些工具能做什么和不能做什么是非常重要的,不能过分夸大或不当使用测试工具。
4.尽可能使用源代码
测试大致分为两种:黑盒测试和白盒测试。黑盒测试一般采用渗透方式,这种方式黑盒测试本身缺点明显,需要覆盖大量的测试用例,测试完成后仍无法判断软件是否处于风险。如今,白盒测试中的源代码扫描已经成为一种越来越流行的技术。使用源代码扫描工具扫描软件代码一方面可以识别潜在风险,从内部检测软件,提高代码安全性。另一方面,它可以进一步提高代码的质量。黑盒渗透测试和白盒源代码扫描的内外结合,可以大大提高软件的安全性。
5.测试结果文档化
当测试结束时,将测试结果清晰准确地记录在文件中,并生成测试报告是明智而有效的。报告最好包括漏洞的类型、问题引起的安全威胁和严重程度、发现问题所使用的测试技术、漏洞的修复、漏洞的风险等。好的测试报告能够有利于开发者更好地定位软件安全漏洞,有效修复漏洞,使软件更加安全可靠。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
