51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1756|回复: 0
打印 上一主题 下一主题

关于安全测试

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2019-3-29 14:24:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
安全测试:是在软件产品生命周期中开发基本完成到发布阶段,对软件产品进行测试以确保其符合产品安全需求和质量标准。
提到安全测试一般还会有一个可以相提并论的概念 - 渗透测试
渗透测试:通过模拟对软件系统的恶意攻击行为来评估系统安全性的一种测试。

渗透测试和安全测试:
渗透测试:
- 着重点在攻击,渗透测试的目的就是攻破软件系统以证明系统存在问题。
- 选择一些点,薄弱的环节达到攻破系统的目的。
- 相对简单
安全测试:
- 着重点在防御,对整个系统的防御功能进行系统的考虑和验证。
- 从整个防御面考虑系统的安全性
- 因为从整个防御面考虑,所以困难性相对较高。

安全测试:OWASP - Open Web Appliacation Security Project
OWASP Top 10, Test Guide

比较主流安全测试工具:
Appscan:针对web应用的漏洞扫描工具
Webinspect:是惠普的漏洞扫描工具,和Appscan比较相似
Nessus:主要是针对服务器、主机类的漏洞检查工具
Nmap:很著名的端口嗅探工具,通过扫描主机检查开放了那些端口,可以进行下一步的攻击的工具。
MetaSploit:非常著名的攻击框架,包含有大量的插件,可以通过这个框架对目标软件进行检测还有渗透测试。
WebScarab:是OWASP开源项目提供的一款工具,是一款代理软件,包括HTTP代理,网络爬行,网络蜘蛛,,回话ID分析,自动脚本接口,模糊测试工具,对所有流行的WEB格式编码/解码,WEB服务描述语言和SOAP解析器。
Fortify:和Webinspect是一个公司的产品,主要是一个白盒的测试工具。是针对我们开发源代码的静态的分析。静态的分析出源码中可能存在的安全问题。
W3AF:是一个开源的安全漏洞扫描工具,也是主要针对Web应用。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-8 17:35 , Processed in 0.061099 second(s), 23 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表