51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

测试开发精英班,通向高级软件测试工程师【周活动】 找茬--心里圈的故事 !【长期招募】博为峰网校招聘兼职讲师!横扫BAT,Python全栈测试开发技能大全
【107期】:快速构建python web 全栈开发的开发思维【征稿】提交你的测试成绩单! 【专题】用尽一切办法只为让你学好用例 自学软件测试那点事
查看: 385|回复: 0

关于安全测试

[复制链接]

该用户从未签到

发表于 2019-3-29 14:24:56 | 显示全部楼层 |阅读模式
安全测试:是在软件产品生命周期中开发基本完成到发布阶段,对软件产品进行测试以确保其符合产品安全需求和质量标准。
提到安全测试一般还会有一个可以相提并论的概念 - 渗透测试
渗透测试:通过模拟对软件系统的恶意攻击行为来评估系统安全性的一种测试。

渗透测试和安全测试:
渗透测试:
- 着重点在攻击,渗透测试的目的就是攻破软件系统以证明系统存在问题。
- 选择一些点,薄弱的环节达到攻破系统的目的。
- 相对简单
安全测试:
- 着重点在防御,对整个系统的防御功能进行系统的考虑和验证。
- 从整个防御面考虑系统的安全性
- 因为从整个防御面考虑,所以困难性相对较高。

安全测试:OWASP - Open Web Appliacation Security Project
OWASP Top 10, Test Guide

比较主流安全测试工具:
Appscan:针对web应用的漏洞扫描工具
Webinspect:是惠普的漏洞扫描工具,和Appscan比较相似
Nessus:主要是针对服务器、主机类的漏洞检查工具
Nmap:很著名的端口嗅探工具,通过扫描主机检查开放了那些端口,可以进行下一步的攻击的工具。
MetaSploit:非常著名的攻击框架,包含有大量的插件,可以通过这个框架对目标软件进行检测还有渗透测试。
WebScarab:是OWASP开源项目提供的一款工具,是一款代理软件,包括HTTP代理,网络爬行,网络蜘蛛,,回话ID分析,自动脚本接口,模糊测试工具,对所有流行的WEB格式编码/解码,WEB服务描述语言和SOAP解析器。
Fortify:和Webinspect是一个公司的产品,主要是一个白盒的测试工具。是针对我们开发源代码的静态的分析。静态的分析出源码中可能存在的安全问题。
W3AF:是一个开源的安全漏洞扫描工具,也是主要针对Web应用。
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /2 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2019-10-24 00:21 , Processed in 0.062836 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2019 Comsenz Inc.

快速回复 返回顶部 返回列表