收藏文章 楼主
版块:软件测试培训   类型:普通   作者:多测师   查看:5553   回复:0   获赞:0   时间:2021-12-29 11:31:11

  软件安全是一个广泛而复杂的主题,想要完全避免软件安全漏洞是不切实际的,但大部分软件安全漏洞都可以通过安全测试来发现和修复。下面介绍一些安全测试的原则,遵循这些原则可以避免安全测试中很多常见问题的出现。

  1.培养正确的思维方式

  只有跳出思想束缚才能成功执行安全测试,常规测试只需要覆盖目标软件的正常行为,而安全测试人员需要有创造性的思维。创造性思维可以帮助我们从攻击者的角度思考各种突发情况,同时可以帮助我们猜测开发者是如何开发的,如何绕过程序保护逻辑,以某种不安全的行为模式导致程序失败。

  2.尽早测试

  安全漏洞与普通漏洞没有区别,越早发现维修成本越低。为此,首要任务是在软件开发的早期阶段就常见的安全问题对开发和测试团队进行培训,并教他们如何检测和修复安全漏洞。虽然新兴的第三方库、工具和编程语言可以帮助开发者设计更安全的程序,但新的威胁不断涌现,开发者最好意识到新的安全漏洞对正在开发的软件的影响,测试人员必须转变思维方式,从攻击者的角度测试应用程序,使软件更加安全。

  

  3.选择合适的测试工具

  在很多情况下,安全测试需要模拟黑客对软件系统发起攻击的行为,以确保软件系统具有扎实的防御能力。模拟黑客行为需要安全测试人员善于使用各种工具,如漏洞扫描工具、模拟数据流量的前后端相关工具、数据包捕获工具等。市场上有很多安全扫描器或应用防火墙工具可以自动执行许多日常安全任务,但这些工具并不是万能的。作为测试人员,确切地知道这些工具能做什么和不能做什么是非常重要的,不能过分夸大或不当使用测试工具。

  4.尽可能使用源代码

  测试大致分为两种:黑盒测试和白盒测试。黑盒测试一般采用渗透方式,这种方式黑盒测试本身缺点明显,需要覆盖大量的测试用例,测试完成后仍无法判断软件是否处于安全风险。如今,白盒测试中的源代码扫描已经成为一种越来越流行的技术。使用源代码扫描工具扫描软件代码一方面可以识别潜在风险,从内部检测软件,提高代码安全性。另一方面,它可以进一步提高代码的质量。黑盒渗透测试和白盒源代码扫描的内外结合,可以大大提高软件的安全性。

  5.测试结果文档化

  当测试结束时,将测试结果清晰准确地记录在文件中,并声称测试报告是明智而有效的。报告最好包括漏洞的类型、问题引起的安全威胁和严重程度、发现问题所使用的测试技术、漏洞的修复、漏洞的风险等。好的测试报告能够有利于开发者更好地定位软件安全漏洞,有效修复漏洞,使软件更加安全可靠。

如需了解更多测试技术信息请关注:https://www.duoceshi.cn/jswz/深圳多测师软件与技术服务有限公司


全站外链: TEC传感器 | 猫掌外链
 
回复列表
默认   热门   正序   倒序

回复:安全测试的基本原则是什么?

网站公告

近期本站被人为恶意注册及发布垃圾帖,每一个发帖都会经过审核,一经发现违法或垃圾帖的用户,帖子将被删除或封号,请大家共同维护互联网环境,共创美好互联网未来。

详细的发帖规则请阅读:

《小猪外链网发帖规则》

《小猪外链网最新金币规则》

注:本站严禁发布灰色违禁违法内容,如发现立刻永久封号,如开通会员的概不退款。

Powered by 小猪外链网 8.3.15

©2015 - 2024 小猪SEO外链平台

备案号:浙ICP备17015142号

免责申明:本网站内容由平台入驻会员撰写,除创始人账号外,其他观点仅代表作者本人,不代表小猪外链网立场。如果内容涉及侵犯其他公司、团体的利益、请联系小猪SEO外链网客服举证删除

您的IP:44.211.24.175,2024-11-03 09:40:11,Processed in 0.28975 second(s).

各位站长请准守小猪SEO外链网的发帖规则,文明理性发言

外链优化

用户名:

粉丝数:

签名:

资料 关注 好友 消息
分享
已有0次打赏