什么是安全测试?示例

由: 托马斯·汉密尔顿 托马斯·汉密尔顿
Hours 更新

什么是安全测试?

安全测试 是一种软件测试,用于发现软件应用程序中的漏洞、威胁和风险,并防止入侵者的恶意攻击。安全测试的目的是识别软件系统的所有可能的漏洞和弱点,这些漏洞和弱点可能会导致信息、收入、声誉在组织员工或外部人员手中丢失。

安全测试

为什么安全测试很重要?

的主要目标 安全测试 是识别系统中的威胁并衡量其潜在的漏洞,以便可以遇到威胁并且系统不会停止运行或无法被利用。它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决问题。

软件测试中的安全测试类型

根据开源安全测试方法手册,安全测试主要有七种类型。解释如下:

软件测试中的安全测试类型

  • 漏洞扫描:这是通过自动化软件扫描系统是否存在已知漏洞特征来完成的。
  • 安全扫描: 它涉及识别网络和系统弱点,然后提供降低这些风险的解决方案。此扫描可以进行手动和自动扫描。
  • 渗透测试:此类测试模拟恶意黑客的攻击。此类测试涉及对特定系统的分析,以检查是否存在可能受到外部黑客攻击的漏洞。
  • 风险评估: 该测试涉及对组织中观察到的安全风险的分析。风险分为低、中、高。该测试建议采取控制措施和措施来降低风险。
  • 安全审核: 这是对应用程序的内部检查, Opera事物系统 安全漏洞。审计也可以通过逐行检查代码来完成
  • 道德黑客: 这是对组织软件系统的黑客攻击。与为私利而窃取信息的恶意黑客不同,其目的是暴露系统的安全漏洞。
  • 姿势评估: 这结合了安全扫描, 道德黑客 和风险评估来显示组织的整体安全态势。

如何进行安全测试

我们一致认为,如果我们推迟,成本就会更高 安全性测试 软件实施阶段之后或部署之后。因此,有必要在 SDLC 生命周期的早期阶段就加入安全测试。

让我们来看看 SDLC 中每个阶段应采用的相应安全流程

安全测试

SDLC阶段 安全流程
操作系统需求 需求的安全分析和检查滥用/误用案例
工艺设计 设计开发的安全风险分析 测试计划 包括安全测试
编码和单元测试 静态和动态测试和安全 白色 Box 测试
整合测试 黑色 Box 测试
系统测试 黑色 Box 测试和漏洞扫描
实施 渗透测试、漏洞扫描
支持 补丁影响分析

测试计划应该包括

  • 安全相关的测试用例或场景
  • 与安全测试相关的测试数据
  • 安全测试所需的测试工具
  • 分析不同安全工具的各种测试输出

安全测试的示例测试场景

示例测试场景让您了解安全测试用例 –

  • 密码应采用加密格式
  • 应用程序或系统不应允许无效用户
  • 检查应用程序的cookie和会话时间
  • 对于金融网站,浏览器的后退按钮不应该起作用。

安全测试的方法/方式/技术

在安全测试中,遵循不同的方法,如下所示:

  • 虎 Box:这种黑客攻击通常在装有操作系统和黑客工具的笔记本电脑上进行。这种测试有助于渗透测试人员和安全测试人员进行漏洞评估和攻击。
  • 黑箱:测试人员有权对网络拓扑和技术进行一切测试。
  • 灰色 Box:向测试人员提供有关系统的部分信息,它是白盒模型和黑盒模型的混合。

安全测试角色

  • 黑客 – 未经授权访问计算机系统或网络
  • 破解者——闯入系统窃取或破坏数据
  • 道德黑客 – 执行大部分破坏活动,但需获得所有者的许可
  • 脚本小子或包猴子 – 具有编程语言技能的缺乏经验的黑客

安全测试工具

1) Teramind

Teramind 提供全面的内部威胁预防和员工监控套件。它通过行为分析和数据丢失预防来增强安全性,确保合规性并优化业务流程。其可定制平台适合各种组织需求,提供可操作的见解,重点是提高生产力和保护数据完整性。

Teramind

特色:

  • 内部威胁预防: 检测并阻止可能对数据造成内部威胁的用户操作。
  • 业务流程优化: 利用数据驱动的行为分析来重新定义操作流程。
  • 劳动力生产率: 监控劳动力的生产力、安全性和合规行为。
  • 合规管理: 通过适用于小型企业、企业和政府机构的单一、可扩展的解决方案帮助管理合规性。
  • 事件取证: 提供证据以丰富事件响应、调查和威胁情报。
  • 数据丢失防护: 监控并防止敏感数据的潜在丢失。
  • 员工监控: 提供监控员工绩效和活动的能力。
  • 行为分析: 分析细粒度的客户应用行为数据以获得洞察力。
  • 可自定义的监控设置: 允许定制监控设置以适合特定用例或实施预定义规则。
  • 仪表板见解: 通过全面的仪表板提供对劳动力活动的可见性和可操作的见解。

访问 Teramind >>

2) Owasp

开放式 Web 应用程序安全项目 (OWASP)是一家全球非营利组织,致力于提高软件安全性。该项目拥有多种工具来测试各种软件环境和协议。该项目的旗舰工具包括

  1. Zed攻击代理 (ZAP——集成渗透测试工具)
  2. OWASP 依赖性检查 (它扫描项目依赖关系并检查已知漏洞)
  3. OWASP Web 测试环境项目 (安全工具和文档的集合)

3)WireShark

Wireshark 是一种网络分析工具,以前称为 Ethereal。它实时捕获数据包并以人类可读的格式显示它们。基本上,它是一个网络数据包分析器 - 它提供有关网络协议、解密、数据包信息等的详细信息。它是一个开源的,可以在 Linux 上使用, Windows,OS X, Solaris、NetBSD、FreeBSD 和许多其他系统。通过此工具检索的信息可以通过 GUI 或 TTY 模式 TShark 实用程序查看。

4)W3af

w3af 是一个 Web 应用程序攻击和审计框架。它有三种类型的插件:发现、审计和攻击,它们相互通信以查找站点中的任何漏洞,例如,w3af 中的发现插件会查找不同的 URL 来测试漏洞,并将其转发给审计插件,然后审计插件使用这些 URL 来搜索漏洞。

安全测试的误区与事实

让我们讨论一下有关安全测试的误区和事实的一个有趣话题:

误区1 我们不需要安全政策,因为我们的业务规模很小

事实:每个人、每个公司都需要安全政策

误区2 安全测试的投资没有回报

事实:安全测试可以指出需要改进的领域,从而提高效率、减少停机时间,实现最大吞吐量。

误区3:唯一的安全方法就是拔掉插头。

事实:保护组织的唯一且最佳方法是找到“完美的安全”。通过执行态势评估并与业务、法律和行业依据进行比较,可以实现完美的安全。

误区4:互联网并不安全。我将购买软件或硬件来保护系统并挽救业务。

事实:最大的问题之一是购买安全软件和硬件。相反,组织应该首先了解安全性,然后应用它。

结语

安全测试是应用程序最重要的测试,用于检查机密数据是否保密。在这种类型的测试中,测试人员扮演攻击者的角色,在系统中寻找与安全相关的错误。安全测试在软件工程中非常重要,可以尽一切可能保护数据。

你可能会喜欢: