武汉软件测试培训
达内武汉中心

15827352908

热门课程

软件安全测试的三大原则

  • 时间:2016-05-18 14:55
  • 发布:北侧教育
  • 来源:北侧教育

    本文将对软件安全测试的三大原则进行由简单到深入的讲述。

    作为一个软件测试工程师,最应该了解的就是软件的安全测试。在软件安全测试时,运用一组好的原则来避免不安全的软件上市、避免不安全软件受攻击,就显得十分重要。

    第一、软件安全测试的基础。

    软件安全测试的入门包括程序、网络、数据库安全性测试。

    1.程序安全的测试: 明确区分系统中不同用户权限;系统中会不会出现用户冲突;系统会不会因用户的权限的改变造成混乱;用户登陆密码是否是可见、可复制;是否可以通过绝对途径登陆系统;用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统。

    2.系统网络安全的测试:测试采取的防护措施是否正确装配好,有关系统的补丁是否打上;模拟非授权攻击,看防护系统是否坚固;采用成熟的网络漏洞检查工具检查系统相关漏洞;采用各种木马检查工具检查系统木马情况;采用各种防外挂工具检查系统各组程序的客外挂漏洞。

    3.数据库安全的测试:系统数据是否机密;系统数据的完整性;系统数据可管理性;系统数据的独立性;系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)。

    第二、软件安全测试的提高。

    1. 保护薄弱环节。攻击者往往设法攻击最易攻击的环节,这对于您来说可能并不奇怪。即便他们在您系统各部分上花费相同的精力,他们也更可能在系统最需要改进的部分中发现问题。因此我们的安全性测试应侧重于测试最薄弱的部分。如果执行一个好的风险分析,进行一次最薄弱环节的安全测试,标识出您觉得是系统最薄弱的组件应该非常容易,消除最严重的风险,是软件安全测试的重要环节。

    2. 纵深防御能力测试。纵深防御背后的思想是:使用多重防御策略来测试软件,以至少有一层防御将会阻止完全的黑客破坏。

    3. 保护故障措施。因为需要支持不安全的旧版软件而出现问题。该软件已部署了许多或许在长时间内都不会升级的服务器。更新更聪明的客户机和服务器需要同未使用新协议更新的较旧的客户机进行互操作。该软件希望强迫老用户升级,没有指望老用户会占用户基础中如此大的一部分,以致于无论如何这将真的很麻烦。

    4. 最小特权。简单说来,就是确定只授予执行操作所必需的最少访问权,并且对于该访问权只准许使用所需的最少时间。当软件给出了某些部分的访问权时,一般会出现滥用与那个访问权相关的特权的风险。例如,我们假设您出去度假并把您家的钥匙给了您的朋友,好让他来喂养您的宠物、收集邮件等等。尽管您可能信任那位朋友,但总是存在这样的可能:您的朋友未经您同意就在您的房子里开派对或发生其它您不喜欢的事情。

    5. 分隔。分隔背后的基本思想是如果我们将系统分成尽可能多的独立单元,那么我们可以将对系统可能造成损害的量降到最低。通常,如果攻击者利用了代码中的缓冲区溢出,对磁盘进行原始写并胡乱修改内核所在内存中的任何数据。

    第三、软件安全测试的提高。

    软件安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力, 根据安全指标不同测试策略也不同,如果遵循相同的原则,去证明软件的安全性,将有利于软件安全测试的工作规范的进行,有利于软件安全测试工作的发展。
上一篇:QTP中DataTable操作大全简述
下一篇:10款常用的JAVA测试工具

十大较具“钱景”职业 软件测试较火

软件测试的起源

软件测试的发展

软件测试行的现状

选择城市和中心
贵州省

广西省

海南省

有位老师想和您聊一聊