关于安全测试
安全测试:是在软件产品生命周期中开发基本完成到发布阶段,对软件产品进行测试以确保其符合产品安全需求和质量标准。提到安全测试一般还会有一个可以相提并论的概念 - 渗透测试
渗透测试:通过模拟对软件系统的恶意攻击行为来评估系统安全性的一种测试。
渗透测试和安全测试:
渗透测试:
- 着重点在攻击,渗透测试的目的就是攻破软件系统以证明系统存在问题。
- 选择一些点,薄弱的环节达到攻破系统的目的。
- 相对简单
安全测试:
- 着重点在防御,对整个系统的防御功能进行系统的考虑和验证。
- 从整个防御面考虑系统的安全性
- 因为从整个防御面考虑,所以困难性相对较高。
安全测试:OWASP - Open Web Appliacation Security Project
OWASP Top 10, Test Guide
比较主流安全测试工具:
Appscan:针对web应用的漏洞扫描工具
Webinspect:是惠普的漏洞扫描工具,和Appscan比较相似
Nessus:主要是针对服务器、主机类的漏洞检查工具
Nmap:很著名的端口嗅探工具,通过扫描主机检查开放了那些端口,可以进行下一步的攻击的工具。
MetaSploit:非常著名的攻击框架,包含有大量的插件,可以通过这个框架对目标软件进行检测还有渗透测试。
WebScarab:是OWASP开源项目提供的一款工具,是一款代理软件,包括HTTP代理,网络爬行,网络蜘蛛,,回话ID分析,自动脚本接口,模糊测试工具,对所有流行的WEB格式编码/解码,WEB服务描述语言和SOAP解析器。
Fortify:和Webinspect是一个公司的产品,主要是一个白盒的测试工具。是针对我们开发源代码的静态的分析。静态的分析出源码中可能存在的安全问题。
W3AF:是一个开源的安全漏洞扫描工具,也是主要针对Web应用。
页:
[1]
