安全测试概述
根据经验持续修正~~~初稿2016.10.9
安全也是一个抽象的概念,越抽象的概念描述的范围越广。
安全测试对于系统或者软件来说非常重要,因为充分的安全测试发现系统中一部分潜在的漏洞,找到系统易受到攻击的点,并对系统进行加固。一份非常完善的安全测试报告是对软件安全性的一种保障。而测试报告依靠的是什么?是一个个用例的覆盖,是一次次扫描工具的扫描,甚至是模糊渗透测试的反向验证。
安全我想也会有很多种分类方式。
- 操作系统安全,特定软件安全。
- web安全,数据库安全。
- 网络安全,存储安全
- 移动app安全
- 工业控制安全
-物联网安全
具体而言又包含:
编译安全,
系统服务,
内核参数,
文件权限,
日志审计,
用户口令,
授权认证,
软件完整性校验。
对于一个操作系统而言,其内核参数的配置,能其安全性至关重要。
安全测试工具与方法
fuzzing: peach
Nessus漏洞扫描软件检查
2017.3.3补充
软件安全,不是软件开发完成之后才要考虑的事情,软件安全是要在软件设计阶段就要认真考虑的。而且在软件编码阶段尽量不去使用不安全函数。
软件安全测试,也覆盖于软件的整个生命周期,代码检视是保证软件安全很重要的一部分,通过代码检视可以很容易发现黑盒测试不易发现的命令注入漏洞。
整个软件安全测试的过程,首先根据需求和安全红线设计安全测试方案,(代码检视,工具扫描,fuzz测试,合规检测等)
安全原则:最小权限
2021-12-10补充
安全环境变化了。
高防DDOS、应用防火墙WAF这些都是可以采购的了。
安全测试的目的也发生了变化,等保三级。