如何做好软件安全性测试?
1、充分了解软件安全漏洞
评估一个软件系统的安全程度,需要从设计、实现和部署三个环节同时着手。我们先看一下Common Criteria是如何评估软件系统安全的。
首先要确定软件产品对应的Protection Profile(PP)。一个PP定义了一类软件产品的安全特性模板。
例如:数据库的PP、防火墙的PP等。然后,根据PP再提出具体的安全功能需求,如用户的身份认证实现。最后,确定安全对象以及是如何满足对应的安全功能需求的。因此,一个安全软件的三个环节,哪个出问题都不行。
2、安全性测试的评估
当做完安全性测试后,软件是否能够达到预期的安全程度呢?这是安全性测试人员最关心的问题,因此需要建立对测试后的安全性评估机制。一般从以下两个方面进行评估。
1)安全性缺陷数据评估
如果发现软件的安全性缺陷和漏洞越多,可能遗留的缺陷也越多。进行这类评估时,必须建立基线数据作为参照,否则评估起来没有依据就无法得到正确的结论。
2)采用漏洞植入法来进行评估
漏洞植入法和可靠性测试里的故障插入测试是同一道理,只不过这里是在软件里插入一些有安全隐患的问题。采用漏洞植入法时,先让不参加安全测试的特定人员在软件中预先植入一定数量的漏洞,最后测试完后看有多少植入的漏洞被发现,以此来评估软件的安全性测试做得是否充分。
3)采用安全测试技术和工具
可使用专业的具有特定功能的安全扫描软件来寻找潜在的漏洞,将已经发生的缺陷纳入缺陷库,然后通过自动化测试方法来使用自动化缺陷库进行轰炸测试
例如,使用一些能够模拟各种攻击的软件来进行测试。
如何做好软件安全性测试?相关推荐
- 什么是软件安全性测试?
一.什么是软件安全性测试 (1)什么是软件安全 软件安全属于软件领域里一个重要的子领域.在以前的单机时代,安全问题主要是操作系统容易感染病毒,单机应用程序软件安全问题并不突出.但是自从互联网普及后,软 ...
- 软件安全性测试有那些
软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现.要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的.在软件安全测试时,运用一组好的原则来避免不安 ...
- 【测试理论】如何做好探索性测试—基础篇
前不久国庆档上映的一部电影<登山者>,相信大家都已经看过了,在剧中,中国登山队那种不畏困难,勇于探索未知领域的精神着实让人敬佩,特别是最后一刻吴京饰演的方五洲带领队员,终于再次登顶.如果单 ...
- 软件压力测试工具有哪些 企业如何做好压力测试工作?
随着人们对软件质量要求越来越重视,在软件项目正式交付之前都需要做软件压力测试,目的就是为了测试系统能够承载多大的压力,能承担多少的并发.如果不做软件压力测试工作,一旦出现大的访问量的时候,系统或者程序 ...
- 如何做好团队测试建设
今天读了一篇文章,感觉写的挺好,对于测试团队建设,质量提升的观点写的很好.下面结合自己的工作经历写写自己的感想,记录下以后要如何提升自己和团队. 新接手一个业务,要怎么做? 首先要融入环境,熟悉组内工 ...
- 一个好的产品是如何做好兼容性测试的?
很多对软件测试行业感兴趣的小伙伴,都听说过兼容性测试,但却不太理解兼容性测试是干啥的.除了我们日常经常听到的手机版本兼容,游戏升级迭代,其实兼容性测试还包括很多其他方面.今天,我们就一起来盘一盘什么是 ...
- 有哪些浏览器兼容性测试,如何做好兼容性测试工作?
一个软件产品或者程序需要在不同浏览器上使用,兼容不同浏览器版本,听起来是一件复杂的事情.以我们熟知的主流浏览器就有很多版本,比如火狐浏览器.谷歌浏览器.IE浏览器等,想要软件产品或者程序在这些浏览器上 ...
- 怎么做软件安全性测试
appscan扫出来的漏洞,你要去人工确认是否是真的存在或是重不重要...多跟开发沟通吧..appscan工具能扫出很多问题,但是不一定都是真正需要修改优化的, 你要自己分析看下...appscan扫 ...
- WEB测试应该注意哪些地方,怎样才能做好WEB测试
基于Web的 系统测试与传统的 软件测试既有相同之处,也有不同的地方,对 软件测试提出了新的挑战.基于Web的 系统测试不但需要检查和验证是否按照设计的要求运行,而且还要评价系统在不同用户的浏览器端的 ...
- 软件安全性测试设计的基本原则
2015年3月2日 百度了下网上已有的同类话题,讲的有些笼统.这里将我日常工作中涉及到的细化一下,以备忘. 博客里的表格太难用了...直接上图: 下面这张图可以帮忙加深上面表格的理解: 1. 最小授权 ...
最新文章
- 为TextMate扩展全屏功能
- 能力素质有所欠缺_孩子说话啰嗦没重点?家长学会“大脑整理术”,提高孩子表达能力...
- android字符串获取数字索引,从字符串中提取特定数据(Extract specific data from a string)...
- C++ 百炼成钢20
- java中的类型擦除type erasure
- 《Java8实战》笔记(04):引入流
- Linux 内核调试器 调试指南
- JavaScript 正则表达式(RegExp对象、属性、方法、String支持)
- asp.net 文件下载(txt,rar,pdf,word,excel,ppt)
- Tensorflow 踩的坑(一)
- java timer 序列化_Java中的定时器Timer使用示例代码
- POJ2752 (Seek the Name, Seek the Fame,kmp)
- 火山PC编辑框组件详解2
- android其架构图,Android系统架构图,带你直观了解Android基本架构
- 网站被移动运营方屏蔽怎么办?
- 个人信用风险评估项目
- uniapp h5微信分享
- 数字 IC 笔试面试必考点(8)时钟偏差以及时钟抖动
- 压力测试是什么?为什么要压力测试?怎么使用压力测试?
- git 冲突解决一把梭
热门文章
- java郝斌_Java入门学习笔记-郝斌
- 用SPSS做正态分布检验
- matlab 仿真逆变电路,逆变电路的MATLAB仿真研究论文.doc
- 计算机基础知识章节教学目标,精选计算机教学计划三篇
- IDEA安装谷歌翻译插件Translation
- SQLMAP注入拖库过程 1
- 【MS SQL Server】SQL Server2005下载地址
- Stimulsoft Dashboards.WEB 2022.2.3 Crack
- 分享一下我制作的Bat批处理程序-PC Tools(含源码)
- 使用easyx来实现按钮功能