軟件安全測(cè)試知識(shí)分享

一、軟件安全測(cè)試是什么­
軟件安全測(cè)試主要是對(duì)軟件產(chǎn)品進(jìn)行安全問(wèn)題上的測(cè)試，找到系統(tǒng)中可能存在的安全隱患和面對(duì)非法入侵時(shí)的防范能力。
二、為什么要進(jìn)行軟件安全測(cè)試­
進(jìn)行軟件安全測(cè)試歸根結(jié)底就是為了提升軟件產(chǎn)品的安全質(zhì)量，通過(guò)測(cè)試的過(guò)程盡量在軟件上線前找到安全問(wèn)題并修復(fù)以降低成本，以及驗(yàn)證系統(tǒng)中的保護(hù)機(jī)制在遇到實(shí)際問(wèn)題時(shí)能否對(duì)系統(tǒng)進(jìn)行保護(hù)，使之不受干擾和非法入侵。
三 軟件安全測(cè)試怎么做­
一個(gè)完整的軟件安全測(cè)試，應(yīng)當(dāng)包括以下步驟：
1、部署與基礎(chǔ)結(jié)構(gòu)
部署有沒(méi)有包括內(nèi)部防火墻，網(wǎng)絡(luò)是否安全，目標(biāo)環(huán)境支持怎樣的信任級(jí)別，基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么。
2、輸入驗(yàn)證
如何驗(yàn)證輸入,是否驗(yàn)證web頁(yè)輸入，是否對(duì)傳遞到組件或web服務(wù)的參數(shù)進(jìn)行驗(yàn)證，是否驗(yàn)證從數(shù)據(jù)庫(kù)中檢索的數(shù)據(jù)，是否依賴客戶端的驗(yàn)證，應(yīng)用程序是否易受sql注入攻擊，應(yīng)用程序是否易受xss攻擊，如何處理輸入。
3、身份驗(yàn)證
是否區(qū)分受限訪問(wèn)和公共訪問(wèn)，如何驗(yàn)證數(shù)據(jù)庫(kù)身份。
4、授權(quán)
如何在數(shù)據(jù)庫(kù)中授權(quán)應(yīng)用程序，如何向最終用戶授權(quán)，如何將訪問(wèn)限定于系統(tǒng)級(jí)資源。
5、配置管理
是否保證配置存儲(chǔ)的安全
6、敏感數(shù)據(jù)
是否存儲(chǔ)機(jī)密信息，如何存儲(chǔ)敏感數(shù)據(jù)，是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)，是否記錄敏感數(shù)據(jù)。
7、會(huì)話管理
是否限制會(huì)話生存期，如何確保會(huì)話存儲(chǔ)狀態(tài)的安全。
8、加密
如何確保加密密鑰的安全性。
9、參數(shù)操作
是否在參數(shù)過(guò)程中傳遞敏感數(shù)據(jù)，是否驗(yàn)證所有的輸入?yún)?shù)，是否為了安全問(wèn)題而使用http頭數(shù)據(jù)。
10、異常管理
是否使用結(jié)構(gòu)化的異常處理，是否向客戶端公開(kāi)了太多的信息。