格力研发空调发电

扫一扫关注微信二维码 特斯拉

行业动态

安全测试的基本原则是什么?

  软件安全是一个广泛而复杂的主题,想要完全避免软件安全漏洞是不切实际的,但大部分软件安全漏洞都可以通过安全测试来发现和修复。下面介绍一些安全测试的原则,遵循这些原则可以避免安全测试中很多常见问题的出现。

  1.培养正确的思维方式

  只有跳出思想束缚才能(neng)成功执行(xing)安(an)全(quan)测(ce)试,常(chang)规测(ce)试只需要覆盖目(mu)标软(ruan)件(jian)的正(zheng)常(chang)行(xing)为(wei),而(er)安(an)全(quan)测(ce)试人员需要有创造性(xing)的思维。创造性(xing)思维可以(yi)帮助(zhu)(zhu)我们(men)从攻(gong)击(ji)者的角度思考各种突(tu)发(fa)情况,同时(shi)可以(yi)帮助(zhu)(zhu)我们(men)猜(cai)测(ce)开发(fa)者是如(ru)何开发(fa)的,如(ru)何绕过程(cheng)序(xu)保(bao)护逻辑(ji),以(yi)某种不安(an)全(quan)的行(xing)为(wei)模式导致程(cheng)序(xu)失败。

  2.尽早测试

  安(an)全(quan)漏(lou)洞(dong)与(yu)普通漏(lou)洞(dong)没(mei)有区别,越早发(fa)现维修(xiu)(xiu)成本越低。为此,首(shou)要(yao)任务是在软件开发(fa)的早期阶段就(jiu)常见的安(an)全(quan)问题(ti)对开发(fa)和(he)测(ce)试(shi)团队进(jin)行培训(xun),并教他们如何检测(ce)和(he)修(xiu)(xiu)复安(an)全(quan)漏(lou)洞(dong)。虽然(ran)新兴的第三方库、工(gong)具(ju)和(he)编(bian)程(cheng)语(yu)言(yan)可以帮助(zhu)开发(fa)者(zhe)设计更(geng)安(an)全(quan)的程(cheng)序,但(dan)新的威胁(xie)不断涌现,开发(fa)者(zhe)最好意识到(dao)新的安(an)全(quan)漏(lou)洞(dong)对正在开发(fa)的软件的影响(xiang),测(ce)试(shi)人员(yuan)必(bi)须转变思维方式,从攻(gong)击(ji)者(zhe)的角度测(ce)试(shi)应用程(cheng)序,使软件更(geng)加安(an)全(quan)。

安全测试的基本原则是什么?

  3.选择合适的测试工具

  在很多(duo)情况下(xia),安全(quan)测试(shi)(shi)需(xu)要模(mo)拟(ni)黑(hei)客对软件系统发起攻击的行为,以(yi)确(que)保软件系统具(ju)(ju)有扎实的防御能力。模(mo)拟(ni)黑(hei)客行为需(xu)要安全(quan)测试(shi)(shi)人员(yuan)善于使用(yong)各(ge)种工(gong)(gong)(gong)具(ju)(ju),如漏洞扫(sao)描工(gong)(gong)(gong)具(ju)(ju)、模(mo)拟(ni)数据流量的前后端(duan)相关(guan)工(gong)(gong)(gong)具(ju)(ju)、数据包捕获工(gong)(gong)(gong)具(ju)(ju)等。市场上有很多(duo)安全(quan)扫(sao)描器或应用(yong)防火墙工(gong)(gong)(gong)具(ju)(ju)可以(yi)自动执(zhi)行许多(duo)日常安全(quan)任(ren)务,但这些(xie)工(gong)(gong)(gong)具(ju)(ju)并不(bu)是万能的。作(zuo)为测试(shi)(shi)人员(yuan),确(que)切地知道这些(xie)工(gong)(gong)(gong)具(ju)(ju)能做(zuo)什(shen)么和不(bu)能做(zuo)什(shen)么是非常重(zhong)要的,不(bu)能过分(fen)夸(kua)大或不(bu)当使用(yong)测试(shi)(shi)工(gong)(gong)(gong)具(ju)(ju)。

  4.尽可能使用源代码

  测试(shi)大致分为两种(zhong):黑(hei)盒测试(shi)和白盒测试(shi)。黑(hei)盒测试(shi)一(yi)般(ban)采用渗透方(fang)式,这种(zhong)方(fang)式黑(hei)盒测试(shi)本身缺点明显(xian),需要(yao)覆盖(gai)大量的(de)测试(shi)用例,测试(shi)完(wan)成(cheng)后仍无法判断软(ruan)件(jian)(jian)是(shi)否(fou)处于风(feng)险。如今,白盒测试(shi)中的(de)源代(dai)码扫(sao)描已经成(cheng)为一(yi)种(zhong)越来越流行(xing)的(de)技术。使用源代(dai)码扫(sao)描工具扫(sao)描软(ruan)件(jian)(jian)代(dai)码一(yi)方(fang)面可(ke)以(yi)识别(bie)潜(qian)在风(feng)险,从内部检测软(ruan)件(jian)(jian),提(ti)高(gao)代(dai)码安(an)(an)全(quan)性(xing)。另(ling)一(yi)方(fang)面,它(ta)可(ke)以(yi)进一(yi)步提(ti)高(gao)代(dai)码的(de)质量。黑(hei)盒渗透测试(shi)和白盒源代(dai)码扫(sao)描的(de)内外(wai)结(jie)合,可(ke)以(yi)大大提(ti)高(gao)软(ruan)件(jian)(jian)的(de)安(an)(an)全(quan)性(xing)。

  5.测试结果文档化

  当测试(shi)结(jie)束时,将测试(shi)结(jie)果(guo)清晰(xi)准确地记录在(zai)文件(jian)中,并生成测试(shi)报(bao)(bao)告(gao)(gao)是明智而有效的(de)(de)。报(bao)(bao)告(gao)(gao)最好包括漏(lou)洞(dong)的(de)(de)类型、问(wen)(wen)题(ti)引起(qi)的(de)(de)安(an)全(quan)威胁和严重程度(du)、发(fa)现问(wen)(wen)题(ti)所使(shi)用的(de)(de)测试(shi)技(ji)术(shu)、漏(lou)洞(dong)的(de)(de)修(xiu)复(fu)、漏(lou)洞(dong)的(de)(de)风险等。好的(de)(de)测试(shi)报(bao)(bao)告(gao)(gao)能够有利(li)于开发(fa)者更(geng)好地定位软件(jian)安(an)全(quan)漏(lou)洞(dong),有效修(xiu)复(fu)漏(lou)洞(dong),使(shi)软件(jian)更(geng)加安(an)全(quan)可(ke)靠。

  以上是关于安全测试基本原则的介绍,由多测师亲自撰写,全网独家提供!  http://taiqiubox.com/

新闻资讯(xun)

联(lian)系我们

联系人:何(he)女士

手机:13825291265

电话:0755-21072941

邮(you)箱:hr@taiqiubox.com

地址: 广东省深圳市龙华区龙华街道清湖(hu)和平(ping)路62号优鼎企创(chuang)园D栋(dong)201室,202室

用手机扫描二维码关闭
二维码
xml地图 | sitemap地图
冬奥会
分享到:QQ空间新浪微博腾讯微博人人网微信
生化危机 37年积蓄家中发霉 杨幂 孙俪史上最狂山寨栽了 生死狙击 张飞 私生饭 乌镇戏剧节 意甲直播 凡人修仙传 觉醒年代 奥尼尔 热爱就一起 小花仙斗罗大陆 东京奥运会赛程 觉醒年代 超强台风 天龙八部 天龙八部 修罗武神烟火里的尘埃 王俊凯 房东回应免租4年中美关系三条底线 宝马 江西一村全年无蚊重庆发现吃虫植物 雅阁 我和我的家乡 沃尔沃 红旗 盗御马 白蛇2:青蛇劫起 五菱宏光 中甲 14价HPV进入临床 奥迪 崩坏3 热血江湖 What If Love 王思聪微博 欢乐斗地主 女足 婴儿被埋一天获救 河南暴雨救援电话 猫和老鼠 我很愉快 生僻字 鹤壁降水量已超过郑州 革命者 李大钊 哥斯拉大战金刚 中国队26日夺金点 修罗武神烟火里的尘埃 减肥减出世界冠军 逆天邪神 贾跃亭称必须回国守岛人 杜莎夫人蜡像馆 武炼巅峰 | 下一页
Baidu
sogou
百度 搜狗 360