欢迎光临 - 各位同仁看完博客记得留言啊!同时请关注我的博客,http://blog.magustest.com

《软件测试》第十三章 安全测试

上一篇 / 下一篇  2007-08-30 23:04:12 / 个人分类:读书笔记

51Testing软件测试网7Nac![ jX&Z

辛辛苦苦写了大半……浏览器一崩溃,啥都没有……吐血!!辛苦奋斗二十年,一朝回到解放前!51Testing软件测试网o.OY+@'y,G

7?6C+v]r'h*z4l*e;G&[+]0黑客的动机!51Testing软件测试网!F8q+d!Y9Yy?
1.Challenge/Prestige - (挑战性和威望)通常在一个社区里面有某些高手进入了某些号称安全性很高的系统里面,对于那个人的威望的树立是很有帮助的。而且这也是意见很有挑战性的事情。51Testing软件测试网Oo0D3k/N3g}n
2.Curiosity - (好奇)人就是这样子,你不让我看我非要看!
$iMzE{03.Use/Leverage - (使用和利用)利用电脑传播病毒,或者干其他坏事。
oz5o:L6a3y P8Is,Ss04.Vandalize - (破坏)随便删除别人的资料,或者利用肉鸡攻击其他系统。51Testing软件测试网.\-ZP]fZ
5.Steal - (盗窃)偷取一些重要的资料,例如商业资料,客户资料~

drAlw051Testing软件测试网i2I4k,|7C#t9^5V{

威胁模型
?6q2L^:eyoCT01.建立团队,而且团对里面需要有一名资深的安全专家。在这个阶段主要集中在识别威胁,不是如果去解决威胁。51Testing软件测试网I G`S-l*QmH$f5z!T
2.识别出有用的部分。就是那些对于黑客来说是有利用价值的部分。例如存放客户信用卡的地方~
tU%aS r03.建立一个概要的架构,并且识别出不同的技术,认证授权方式之间的信任边界。
$@d7y\Q7}ipX04.分解程序组件,看那些组件容易被攻击,或者很有可能受到攻击51Testing软件测试网sYCth d
5.识别出威胁。
4d6}*f|H06.记录威胁。
EJ&KUv(o^r07.对威胁进行评级 DREAD
m(uZ7@Z0A.Damage Potential - (潜在破坏)。威胁的潜在破坏,例如对硬件,财务上的破坏
I,hF(gw2G U0B.Reproducibility - (重现能力)。这个威胁是每次都能出现呢,还是只是尝试1w次才出现一次51Testing软件测试网S'T#|cmI](I
C.Exploitability - (可开发性)。可以危险是不是很容易就被利用了,还是需要高深的编程技巧51Testing软件测试网w)C oi/R;[MA @!E|
D.Affected Users - (受影响用户)51Testing软件测试网,zX$A*M8Y0x
E.Discoverability - (容易发现性)这个威胁是不是很容易被发现,还是只有内部人员泄露才会被发现

y1~4VZ y O2uX0

TAG: 软件测试 读书笔记 安全测试

道理是直的_路永远是弯的 引用 删除 lilyan0624   /   2013-01-26 15:04:03
写的不错。不过貌似现在资深的安全专家不多。 一个企业如果要从0开始做起,还是比较难得,经验的积累很重要。
道理是直的_路永远是弯的 引用 删除 lilyan0624   /   2013-01-26 15:02:57
3
来聊聊 引用 删除 zhoujixu   /   2010-04-01 17:38:30
-5
*快乐的火柴*的个人空间 引用 删除 cooltianhai   /   2007-08-31 10:29:05
哇!高啊!
 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

maguschen

maguschen

男,测试工程师,白盒和自动化都做,兼职性能

日历

« 2020-07-24  
   1234
567891011
12131415161718
19202122232425
262728293031 

数据统计

  • 访问量: 21643
  • 日志数: 20
  • 图片数: 3
  • 建立时间: 2006-12-07
  • 更新时间: 2009-09-16

RSS订阅

Open Toolbar