一、软件安全测试是什么
软件安全测试主要是对软件产品进行安全问题上的测试,找到系统中可能存在的安全隐患和面对非法入侵时的防范能力。
二、为什么要进行软件安全测试
进行软件安全测试归根结底就是为了提升软件产品的安全质量,通过测试的过程尽量在软件上线前找到安全问题并修复以降低成本,以及验证系统中的保护机制在遇到实际问题时能否对系统进行保护,使之不受干扰和非法入侵。
三 软件安全测试怎么做
一个完整的软件安全测试,应当包括以下步骤:
1、部署与基础结构
部署有没有包括内部防火墙,网络是否安全,目标环境支持怎样的信任级别,基础结构安全性需求的限制是什么。
2、输入验证
如何验证输入,是否验证Web页输入,是否对传递到组件或Web服务的参数进行验证,是否验证从数据库中检索的数据,是否依赖客户端的验证,应用程序是否易受SQL注入攻击,应用程序是否易受XSS攻击,如何处理输入。
3、身份验证
是否区分受限访问和公共访问,如何验证数据库身份。
4、授权
如何在数据库中授权应用程序,如何向最终用户授权,如何将访问限定于系统级资源。
5、配置管理
是否保证配置存储的安全
6、敏感数据
是否存储机密信息,如何存储敏感数据,是否在网络中传递敏感数据,是否记录敏感数据。
7、会话管理
是否限制会话生存期,如何确保会话存储状态的安全。
8、加密
如何确保加密密钥的安全性。
9、参数操作
是否在参数过程中传递敏感数据,是否验证所有的输入参数,是否为了安全问题而使用HTTP头数据。
10、异常管理
是否使用结构化的异常处理,是否向客户端公开了太多的信息。
