不断的学习+不断的经历+不断的思考!!
仅供学习和交流,如果转载,请注明转载来源
三、运用测试基础技术——安全性测试
上一篇 /
下一篇 2010-03-25 17:27:55
/ 个人分类:入门学习
安全漏洞是指使产品不可行的缺陷。测试工程师在安全测试中的作用不仅仅是找到缺陷,更要决定这个缺陷能否被利用以及怎样被利用。
为帮助一个设计一个安全的系统。在产品设计的最开始就必须注意安全的问题,测试员仅能测试软件的安全性,软件安全必须先计划,评审,设计,然后才是测试。
安全测试的一些方法和技巧:
一、威胁建模
- 威胁建模审查应用程序的结构以找到潜在威胁和弱点,是一个有组织的集体活动。执行威胁模式分析并非软件测试员的职责,这个职责应该落在项目经理的任务清单上。在威胁建模过程中,测试工程师是活跃的参与者,他们对输入校验,数据处理和会话管理比较熟悉,这促使他们在检查应用程序的潜在安全问题时成为主导力量。
- 威胁建模的意图是找出一个应用程序能被攻击的所有可能的方法,然后根据概率来排优先级。好的威胁建模需要分析技能和调研技能。
二、模糊测试
- 模糊测试是一种用来决定程序对无效输入数据会怎样反应的技术,一个简单的方法就是用十六进制的编辑器来改变程序所使用的数据文件的文件格式;
- 模糊测试在数据库测试、协议测试、或任何一种必须读取和解释数据的系统和应用程序中同样适用。
三、缓冲区溢出
- 除了上面提到的随机改动数据之外,模糊测试还将数据改变成更易暴漏潜在安全问题的样子,比如引发缓冲区溢出的形式等。
- 数据应用错误——没有被正确申明和初始化的变量、常量、字符串、数组或记录引起的缺陷。缓冲区溢出就是这种缺陷。由于字符串的不正确处理引起的缓冲区溢出是目前为止最为常见的一种代码编写错误,其结果是导致安全漏洞。
四、计算机取证
- 用户变更时未被删除的保留数据叫做潜在数据。潜在数据是潜在的安全漏洞。
测试安全缺陷是一种失效性测试行为,常常覆盖产品中没有被完全理解和说明的部分。另外附上本站关于“Web安全测试知多少”地址http://www.51testing.com/html/11/n-109111.html
收藏
举报
TAG: