《软件测试》第十三章 安全测试

`+adD)cdI0辛辛苦苦写了大半……浏览器一崩溃，啥都没有……吐血！！辛苦奋斗二十年，一朝回到解放前！

黑客的动机！51Testing软件测试网/enIP4q3}!T0?
1.Challenge/Prestige - (挑战性和威望)通常在一个社区里面有某些高手进入了某些号称安全性很高的系统里面，对于那个人的威望的树立是很有帮助的。而且这也是意见很有挑战性的事情。51Testing软件测试网4J9c$@/^_/s-m
2.Curiosity - (好奇)人就是这样子，你不让我看我非要看！
8z3FN8{\Ki03.Use/Leverage - (使用和利用)利用电脑传播病毒，或者干其他坏事。
9q0^
~x#jo8v[04.Vandalize - (破坏)随便删除别人的资料，或者利用肉鸡攻击其他系统。51Testing软件测试网jE7iH}-S
5.Steal - (盗窃)偷取一些重要的资料，例如商业资料，客户资料~51Testing软件测试网3Zn-^$Jj@0m)NM7O

~nb)j`7G)hl;P,c5c0威胁模型51Testing软件测试网?1NtwY3t_
1.建立团队，而且团对里面需要有一名资深的安全专家。在这个阶段主要集中在识别威胁，不是如果去解决威胁。51Testing软件测试网Knx j:s:{vi
2.识别出有用的部分。就是那些对于黑客来说是有利用价值的部分。例如存放客户信用卡的地方~
zp]M%nw!FF$zrd03.建立一个概要的架构，并且识别出不同的技术，认证授权方式之间的信任边界。
.d:b%~ r I,b*vq!b\
I J8T04.分解程序组件，看那些组件容易被攻击，或者很有可能受到攻击51Testing软件测试网b6c7tLe#qO(`*N
5.识别出威胁。51Testing软件测试网l]}5\&R.Jg
6.记录威胁。
[#M5W*y:?:TuY5j+C/F3P07.对威胁进行评级 DREAD
.Z*r+p|cwJW8d0A.Damage Potential - (潜在破坏)。威胁的潜在破坏，例如对硬件，财务上的破坏51Testing软件测试网;Y$v%^$Kq C-vx x
B.Reproducibility - (重现能力)。这个威胁是每次都能出现呢，还是只是尝试1w次才出现一次
:A8[E~Z!LNp0C.Exploitability - (可开发性)。可以危险是不是很容易就被利用了，还是需要高深的编程技巧
4K~5Rh7^_F0D.Affected Users - (受影响用户)51Testing软件测试网(~/^UJi
E.Discoverability - (容易发现性)这个威胁是不是很容易被发现，还是只有内部人员泄露才会被发现