一����、軟件安全測(cè)試是什么?
軟件安全測(cè)試主要是對(duì)軟件產(chǎn)品進(jìn)行安全問題上的測(cè)試����,找到系統(tǒng)中可能存在的安全隱患和面對(duì)非法入侵時(shí)的防范能力�。
二���、為什么要進(jìn)行軟件安全測(cè)試?
進(jìn)行軟件安全測(cè)試歸根結(jié)底就是為了提升軟件產(chǎn)品的安全質(zhì)量,通過測(cè)試的過程盡量在軟件上線前找到安全問題并修復(fù)以降低成本����,以及驗(yàn)證系統(tǒng)中的保護(hù)機(jī)制在遇到實(shí)際問題時(shí)能否對(duì)系統(tǒng)進(jìn)行保護(hù),使之不受干擾和非法入侵�。
三 軟件安全測(cè)試怎么做?
一個(gè)完整的軟件安全測(cè)試,應(yīng)當(dāng)包括以下步驟:
1�����、部署與基礎(chǔ)結(jié)構(gòu)
部署有沒有包括內(nèi)部防火墻�����,網(wǎng)絡(luò)是否安全�����,目標(biāo)環(huán)境支持怎樣的信任級(jí)別���,基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么����。
2����、輸入驗(yàn)證
如何驗(yàn)證輸入,是否驗(yàn)證Web頁輸入,是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證��,是否驗(yàn)證從數(shù)據(jù)庫中檢索的數(shù)據(jù)���,是否依賴客戶端的驗(yàn)證���,應(yīng)用程序是否易受SQL注入攻擊,應(yīng)用程序是否易受XSS攻擊���,如何處理輸入����。
3��、身份驗(yàn)證
是否區(qū)分受限訪問和公共訪問�����,如何驗(yàn)證數(shù)據(jù)庫身份。
4����、授權(quán)
如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序,如何向用戶授權(quán)�����,如何將訪問限定于系統(tǒng)級(jí)資源�����。
5���、配置管理
是否保證配置存儲(chǔ)的安全
6�����、敏感數(shù)據(jù)
是否存儲(chǔ)機(jī)密信息�����,如何存儲(chǔ)敏感數(shù)據(jù)��,是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)�����,是否記錄敏感數(shù)據(jù)��。
7�����、會(huì)話管理
是否限制會(huì)話生存期�����,如何確保會(huì)話存儲(chǔ)狀態(tài)的安全�����。
8�、加密
如何確保加密密鑰的安全性��。
9��、參數(shù)操作
是否在參數(shù)過程中傳遞敏感數(shù)據(jù)�,是否驗(yàn)證所有的輸入?yún)?shù),是否為了安全問題而使用HTTP頭數(shù)據(jù)���。
10��、異常管理
是否使用結(jié)構(gòu)化的異常處理�����,是否向客戶端公開了太多的信息�。
四、軟件安全測(cè)試報(bào)告如何收費(fèi)
因?yàn)檐浖y(cè)試是按具體的測(cè)試點(diǎn)和項(xiàng)目大小來決定的�����,因此行業(yè)內(nèi)并無具體的統(tǒng)一報(bào)價(jià)�����。感興趣的朋友可以咨詢卓碼軟件測(cè)評(píng)這家多年專注軟件測(cè)試的第三方測(cè)評(píng)公司�,獲得CMA、CNAS資質(zhì)認(rèn)證��,各類安全測(cè)試�����、性能測(cè)試��、功能測(cè)試、兼容性測(cè)試��、驗(yàn)收測(cè)試等軟件測(cè)試項(xiàng)目全國都可進(jìn)行�����,線上線下都可測(cè)試����,出具的軟件測(cè)試報(bào)告具備法律效力�。
