欢迎光临 - 各位同仁看完博客记得留言啊!同时请关注我的博客,http://blog.magustest.com

《软件测试》第十三章 安全测试

上一篇 / 下一篇  2007-08-30 23:04:12 / 个人分类:读书笔记

51Testing软件测试网#[v%s7h%OC5JZ

辛辛苦苦写了大半……浏览器一崩溃,啥都没有……吐血!!辛苦奋斗二十年,一朝回到解放前!51Testing软件测试网A#|"G J*fI[8e

51Testing软件测试网!`)~ T {!i$W8e

黑客的动机!
$h8n([X }\\"m5zE01.Challenge/Prestige - (挑战性和威望)通常在一个社区里面有某些高手进入了某些号称安全性很高的系统里面,对于那个人的威望的树立是很有帮助的。而且这也是意见很有挑战性的事情。51Testing软件测试网1a;CV8\Kp4|;\a
2.Curiosity - (好奇)人就是这样子,你不让我看我非要看!51Testing软件测试网 vJt*G D W P
3.Use/Leverage - (使用和利用)利用电脑传播病毒,或者干其他坏事。51Testing软件测试网6I:si a+n4^
4.Vandalize - (破坏)随便删除别人的资料,或者利用肉鸡攻击其他系统。51Testing软件测试网8@ K x(^~Y"v
5.Steal - (盗窃)偷取一些重要的资料,例如商业资料,客户资料~51Testing软件测试网]phlV*b/W5C

51Testing软件测试网Mx@Q+S+n Y:D1qU

威胁模型51Testing软件测试网P@r:c0Iih
1.建立团队,而且团对里面需要有一名资深的安全专家。在这个阶段主要集中在识别威胁,不是如果去解决威胁。51Testing软件测试网fOw3v1Q(P [
2.识别出有用的部分。就是那些对于黑客来说是有利用价值的部分。例如存放客户信用卡的地方~51Testing软件测试网@"}"x4T'W(f?+I&L
3.建立一个概要的架构,并且识别出不同的技术,认证授权方式之间的信任边界。51Testing软件测试网)^5` w;nB+N
4.分解程序组件,看那些组件容易被攻击,或者很有可能受到攻击51Testing软件测试网9Y6tH&z5Ov
5.识别出威胁。51Testing软件测试网si*u*rt)^O,y-ty
6.记录威胁。51Testing软件测试网r1llvI-[ o/{
7.对威胁进行评级 DREAD51Testing软件测试网/k/~4Y(yY
A.Damage Potential - (潜在破坏)。威胁的潜在破坏,例如对硬件,财务上的破坏
6~.N6bB7c0B.Reproducibility - (重现能力)。这个威胁是每次都能出现呢,还是只是尝试1w次才出现一次51Testing软件测试网&m E'g*g'l,~Sq N0p
C.Exploitability - (可开发性)。可以危险是不是很容易就被利用了,还是需要高深的编程技巧
*[b,t.Qd?0D.Affected Users - (受影响用户)51Testing软件测试网$@? iep
E.Discoverability - (容易发现性)这个威胁是不是很容易被发现,还是只有内部人员泄露才会被发现51Testing软件测试网X0Wu-ew&H5J


TAG: 软件测试 读书笔记 安全测试

道理是直的_路永远是弯的 引用 删除 lilyan0624   /   2013-01-26 15:04:03
写的不错。不过貌似现在资深的安全专家不多。 一个企业如果要从0开始做起,还是比较难得,经验的积累很重要。
道理是直的_路永远是弯的 引用 删除 lilyan0624   /   2013-01-26 15:02:57
3
来聊聊 引用 删除 zhoujixu   /   2010-04-01 17:38:30
-5
*快乐的火柴*的个人空间 引用 删除 cooltianhai   /   2007-08-31 10:29:05
哇!高啊!
 

评分:0

我来说两句

maguschen

maguschen

男,测试工程师,白盒和自动化都做,兼职性能

日历

« 2024-02-18  
    123
45678910
11121314151617
18192021222324
2526272829  

数据统计

  • 访问量: 28304
  • 日志数: 20
  • 图片数: 3
  • 建立时间: 2006-12-07
  • 更新时间: 2009-09-16

RSS订阅

Open Toolbar