參考內容:《質量全面監控:從項目管理到容災測試》
一、安全測試概述
定義:安全測試是在軟件產品開發基本完成時,驗證產品是否符合安全需求定義和產品質量標准的過程。
概念:安全測試是檢查系統對非法侵入滲透的防范能力。
准則:理論上來講,只要有足夠的時間和資源,沒有無法進入的系統。因此,系統安全設計的准則是使非法侵入的代價超過被保護信息的價值。
目標:通過對系統進行精心、全面的脆弱性安全測試,發現系統未知的安全隱患並提出相關建議,確保系統的安全性。安全性一般分為應用程序級別和系統級別,區別如下:
應用程序級別:包括對應數據或業務功能的訪問,核實應用程序的用戶權限只能操作被授權訪問的那些功能或數據。
系統級別:包括對操作系統的目錄或遠程訪問,主要核實具備系統和應用程序訪問權限的操作者才能訪問系統和應用程序。
二、基本過程
1、安全開發生命周期
2、安全測試流程圖
三、安全測試工具
| 序號 | 名稱 | 簡介 |
| 1 | IBM AppScan | 一個領先的web應用安全工具,可自動進行安全漏洞評估、掃描和檢測所有常見的web應用安全漏洞,如:SQL注入、跨站點腳本攻擊(CSS)、緩沖區溢出等 |
| 2 | Burp Suite | 一個用於攻擊web應用程序的集成平台,包含大量的安全測試工具,並為這些工具設計了對外訪問接口,以加快攻擊應用程序的過程 |
| 3 | Metasploit | 一款開源的安全漏洞檢測工具,可以幫助安全人員和IT專業人士識別安全性問題,挖掘漏洞,攻擊漏洞,並評估漏洞風險級別 |
| 4 | Wireshark | 適用於Windows和Linux的網絡協議分析工具,也是一個很出名的數據包分析工具,可以檢查網絡流量,是觀察TCP/IP異常流量的很好的工具 |
| 5 | Kail Linux | 目前比較流行的安全滲透測試平台,包含了最新的安全測試工具,允許用戶從CD或者U盤啟動,通過U盤來實施安全滲透測試 |
四、常見的安全測試用例
根據不同的安全測試類型,需要采用不同的測試方法來對測試項進行驗證。下面列出了常見的一些安全測試用例。僅供參考:
以上內容僅供參考,具體還需要多實踐,考慮具體的業務場景來進行測試。。。