如何进行安全性测试?
1.功能验证
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。
2、漏洞扫描
安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中做到“有的放矢”,及时修补漏洞。按常规标准,可以将漏洞扫描分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Net Scanner)。主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序,如著名的COPS、Tripewire、Tiger等自由软件。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序,如Satan、ISS Internet Scanner等。
安全漏洞扫描是可以用于日常安全防护,同时可以作为对软件产品或信息系统进行测试的手段,可以在安全漏洞造成严重危害前,发现漏洞并加以防范。
3、模拟攻击实验
对于安全测试来说,模拟攻击测试是一组特殊的黑盒测试案例,我们以模拟攻击来验证软件或信息系统的安全防护能力,下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。在下列各项中,出现了“授权”和“非授权”两个术语。“授权”意指“授予权力”,包含两层意思:这里的权力是指进行某种活动的权力(例如访问数据);这样的权力被授予某个实体、代理人或进程。于是,授权行为就是履行被授予权力(未被撤销)的那些活动。
● 冒充:就是意个实体假装成一个不同的实体。冒充常与某些别的主动攻击形式一起使用,特别是消息的重演与篡改。例如,截获鉴别序列,并在一个有效的鉴别序列使用过一次后再次使用。特权很少的实体为了得到额外的特权,可能使用冒充成具有这些特权的实体,举例如下。
1) 口令猜测:一旦黑客识别了一台主机,而且发现了基于NetBIOS、Telnet或NFS服务的可利用的用户帐号,并成功地猜测出了口令,就能对机器进行控制。
2) 缓冲区溢出:由于在很多地服务程序中大意的程序员使用类似于“strcpy(),strcat()”不进行有效位检查的函数,最终可能导致恶意用户编写一小段程序来进一步打开安全缺口,然后将该代码放在缓冲区有效载荷末尾,这样,当发生缓冲区溢出时,返回指针指向恶意代码,执行恶意指令,就可以得到系统的控制权。
● 重演:当一个消息或部分消息为了产生非授权效果而被重复时,出现重演。例如,一个含有鉴别信息的有效消息可能被另一个实体所重演,目的是鉴别它自己(把它当作其他实体)。
● 消息篡改:数据所传送的内容被改变而未被发觉,并导致非授权后果,如下所示。
1) DNS高速缓存污染:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以加入不正确得信息,并把用户引向黑客自己的主机。
2) 伪造电子邮件:由于SMTP并不对邮件发送者的身份进行鉴定,因此黑客可以对内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附上可安装的特洛伊木马程序,或者是一个指向恶意网站的链接。
如何进行安全性测试?相关推荐
- SAP开源Java SCA工具,提供静态代码安全性测试功能
SAP发布了Vulnerability Assessment Tool的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对600多个项目进行了20,000次扫描. Vulnerabi ...
- Android手机安全性测试手段
2019独角兽企业重金招聘Python工程师标准>>> 罗列一下自己常用的android手机安全性测试攻击手段: 1. fiddler和tcpdump+wireshark抓包分析,模 ...
- Web系统测试Web安全性测试
WEB安全性测试介绍 WEB安全性测试--拒绝服务攻击 WEB安全性测试--文件上传漏洞 WEB安全性测试--跨站攻击 WEB安全性测试--SQL注入一 WEB安全性测试--SQL注入二 WEB安全性 ...
- 工控网络安全性测试解决方案
工业控制网络面临的安全威胁 ♦ 传统的工控网络具备的以下特点: ♦ 强调实时I/O能力,而非更高的网络安全能力. ♦ 极少安装普通的防病毒软件,就算安装了也难以实时更新病毒库. ...
- 什么是安全性测试(security testing)?
安全性测试(securitytesting):就是在软件研发和维护过程中,通过不同的测试方法,发现安全性的问题,包括下列各类问题: 信息泄露.破坏信息的完整性 拒绝服务 非法使用(非授权访问).窃听 ...
- web应用程序安全性测试_Web应用程序导航菜单的可访问性
web应用程序安全性测试 A few years ago when I started my journey in the field of frontend engineering at that ...
- Questa CDC(安全性测试)
Questa CDC(安全性测试) 作者:Saint 掘金:https://juejin.im/user/5aa1f89b6fb9a028bb18966a 微博:https://weibo.com/5 ...
- APP测试之安全性测试
一.前言 在SDK最近的项目中上线的包被第三方杀毒软件报出有病毒的问题,后来经过查验发现是SDK悬浮窗动画的逻辑被检验出有病毒,最后进行了修改.事情虽然解决了,但是引起该问题的一个原因是在测试中没有安 ...
- 软件系统安全性测试列表(Checklist)
随着互联网应用的普及,软件安全性越来越重要,今天我整理了一个软件安全性测试的列表,请大家仔细看看,看看有没有漏项,多给力,给予补充,在此谢过! 主题 项目列表 系统安全性及其测试方法 ³ 软件系统的 ...
- 软件测试-------Web(性能测试 / 界面测试 / 兼容性测试 / 安全性测试)
Web(性能测试 / 界面测试 / 兼容性测试 / 安全性测试) 一.Web性能测试:(压力测试.负载测试.连接速度测试) 1.压力测试: 并发测试 (如500人同时登录邮箱) 2.负载测试 ...
最新文章
- 5G NGC — PCC 策略与计费控制框架
- 逆向辅导:让你的IT文化恢复活力的独特方法
- Docker框架的使用系列教程(四)容器的使用
- Django基础核心技术之Model模型的介绍与设计
- phpexcel.php实际应用,PHP操作excel的一个例子(原创)-PHP教程,PHP应用
- 针对IE的CSS hack 全面 实用
- 异常和中断处理流程: Exception- or Interrupt-Handler Procedures
- 以下关于python自动化运维错误的是_建设银行Python自动化运维考试
- vsftpd虚拟用户与匿名用户配合使用
- ensp下载最新版及所有资源包免费分享下载
- matlab模拟多个平面波,Desktop matlab模拟两束平面波干涉
(1)光源非单色性的影响 联合开发网 - pudn.com...
- JAva继承编写自行车例子,java – Freemarker中的继承/实例检查
- win10计算机亮度无法调节,win10电脑调不了亮度怎么办?教你win10电脑调不了亮度处理方法...
- 站上风口,文心一言任重道远
- 函数式编程(JAVA)——Stream流
- 分布式架构设计中的CAP原理
- 学通java的24堂课_学通Java的24堂课
- OpenCV学习之播放视频
- 《中国棒球》:MLB谱写中国棒球·点燃全民运动
- 《大败局1》阅读笔记
热门文章
- 消消乐php源码,PHP实现开心消消乐的算法示例分享
- 邵阳学院大学计算机基础实验报告答案,实验报告正文(大学计算机基础)
- 软件版本发布要求和标准
- 上顿号符号_标点符号(1):谈谈顿号的用法
- 线程基础篇-线程同步
- Linux服务情书,Linux定时任务给心爱的小姐姐发情书
- 电源硬件设计----降压-升压(Buck-Boost)变换器基础
- Compose主题切换——让你的APP也能一键换肤
- Three.js指定路径漫游(站走切换、路径动画、展示路线、开始、暂停、继续、退出、镜头跟随)
- 网易邮箱支持手机收发邮件的服务器,手机如何使用IMAP服务收发网易的邮件