<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                合規國際互聯網加速 OSASE為企業客戶提供高速穩定SD-WAN國際加速解決方案。 廣告
                # 什么是安全測試? 帶示例的類型 > 原文: [https://www.guru99.com/what-is-security-testing.html](https://www.guru99.com/what-is-security-testing.html) ## 什么是安全測試? **安全測試**是一種軟件測試,可發現軟件應用程序中的漏洞,威脅,風險并防止來自入侵者的惡意攻擊。 安全測試的目的是確定軟件系統的所有可能漏洞和弱點,這些漏洞和弱點可能導致信息,收入損失,組織雇員或外部人員的聲譽受損。 安全測試的目標是識別系統中的威脅并衡量其潛在漏洞,以使系統不會停止運行或被利用。 它還有助于檢測系統中所有可能的安全風險,并幫助開發人員通過編碼解決這些問題。 在本教程中,您將學習- * [什么是安全測試?](#1) * [安全測試的類型](#2) * [如何進行安全性測試](#3) * [安全測試](#4)的示例測試方案 * [安全測試的方法/方法/技術](#5) * [安全測試角色](#6) * [安全測試工具](#61) * [安全測試的神話和事實](#7) ## 安全測試的類型: 根據《開源安全測試方法手冊》,安全測試主要有七種類型。 解釋如下: ![What is Security Testing: Complete Tutorial](https://img.kancloud.cn/3f/24/3f2428975f3a549597b32fa8edde751b_576x349.png) * **漏洞掃描**:這是通過自動化軟件完成的,以針對已知漏洞簽名掃描系統。 * **安全掃描:**它涉及識別網絡和系統漏洞,后來提供了降低這些風險的解決方案。 可以為手動和自動掃描執行此掃描。 * **滲透測試**:這種測試模擬來自惡意黑客的攻擊。 此測試涉及對特定系統的分析,以檢查外部黑客嘗試的潛在漏洞。 * **風險評估:**此測試涉及對組織中觀察到的安全風險進行分析。 風險分為低,中和高。 此測試建議采取控制措施以降低風險。 * **安全審核:**這是對應用程序和操作系統進行的內部檢查,以檢查安全漏洞。 審核也可以通過逐行檢查代碼來完成 * **道德黑客:**它正在入侵組織軟件系統。 與惡意黑客竊取自己的利益不同,其目的是暴露系統中的安全漏洞。 * **姿勢評估:**結合了安全掃描,[道德黑客](/ethical-hacking-tutorials.html)和風險評估,以顯示組織的總體安全狀況。 ![Types of Security Testing image](https://img.kancloud.cn/e3/be/e3bed3590015a6240216b9ecc57ed6d6_207x200.png) ## 如何進行安全性測試 始終同意,如果我們在軟件實施階段之后或部署之后推遲安全測試,則成本會更高。 因此,有必要在早期階段將安全性測試納入 SDLC 生命周期中。 讓我們研究一下 SDLC 每個階段要采用的相應安全性流程 ![Security Testing process image](https://img.kancloud.cn/66/70/6670fa4a841dd982ca6c710d8b4d7726_624x226.png) | SDLC 階段 | 安全流程 | | **要求** | 對需求進行安全分析并檢查濫用/濫用案例 | | **設計** | 設計中的安全風險分析。 制定[測試計劃](/what-everybody-ought-to-know-about-test-planing.html),包括安全測試 | | **編碼和單元測試** | 靜態和動態測試與安全性[白盒測試](/white-box-testing.html) | | **集成測試** | [黑匣子測試](/black-box-testing.html) | | **系統測試** | 黑匣子測試和漏洞掃描 | | **實施** | [滲透測試](/learn-penetration-testing.html),漏洞掃描 | | **支持** | 補丁影響分析 | 測試計劃應包括 * 與安全性有關的測試用例或方案 * 與安全測試有關的測試數據 * 安全測試所需的測試工具 * 分析來自不同安全工具的各種測試輸出 ## 安全測試的示例測試方案: 示例測試方案可讓您瞥見安全測試用例- * 密碼應為加密格式 * 應用程序或系統不應允許無效用戶 * 檢查 Cookie 和會話時間以進行申請 * 對于金融網站,“瀏覽器后退”按鈕不起作用。 ## 安全測試的方法/方法/技術 在安全測試中,遵循不同的方法,這些方法如下: * **Tiger Box** :這種黑客攻擊通常是在筆記本電腦上完成的,該筆記本電腦具有一系列的操作系統和黑客工具。 此測試可幫助滲透測試人員和安全測試人員進行漏洞評估和攻擊。 * **[黑匣子](/black-box-testing.html)** :測試儀被授權對網絡拓撲和技術進行所有測試。 * **灰盒**:部分信息提供給測試人員有關系統的信息,它是白盒和黑盒模型的混合體。 ## 安全測試角色 * 黑客-未經授權訪問計算機系統或網絡 * 餅干-闖入系統以竊取或破壞數據 * 道德黑客-執行大多數破壞性活動,但要經過所有者的許可 * 腳本小子或小包猴子-缺乏編程語言技能的黑客 ## 安全測試工具 ### 1)貓頭鷹 開放 Web 應用程序安全性項目( [OWASP](https://bit.ly/2P4SruD) )是一個全球性的非營利組織,致力于改善軟件的安全性。 該項目有多種工具可以對各種軟件環境和協議進行筆式測試。 該項目的旗艦工具包括 1. [Zed 攻擊代理](https://bit.ly/2z6aki2)(ZAP –一種集成的滲透測試工具) 2. [OWASP 依賴關系檢查](https://bit.ly/2TN7fNu)(它掃描項目依賴關系并檢查已知漏洞) 3. [OWASP Web 測試環境項目](https://bit.ly/2P4SruD)(安全工具和文檔的集合) ### 2)WireShark [Wireshark](https://bit.ly/2TMN561) 是以前稱為 Ethereal 的網絡分析工具。 它實時捕獲數據包并以人類可讀的格式顯示它們。 基本上,它是一個網絡數據包分析器-提供有關您的網絡協議,解密,數據包信息等的詳細信息。它是一個開放源代碼,可以在 Linux,Windows,OS X,Solaris,NetBSD,FreeBSD 和許多其他操作系統上使用 其他系統。 可以通過 GUI 或 TTY 模式下的 TShark Utility 查看通過此工具檢索的信息。 ### 3)W3af [w3af](http://bit.ly/2P5Qrm7) 是一個 Web 應用程序攻擊和審核框架。 它具有三種類型的插件: 可以針對站點中的任何漏洞進行通信的發現,審計和攻擊,例如 w3af 中的發現插件會尋找不同的 URL 來測試漏洞,并將其轉發給審計插件,然后審計插件將使用這些 URL 搜索漏洞。 ## 安全測試的神話和事實: 讓我們討論一個有關安全測試的神話和事實的有趣話題: **誤區 1** 我們不需要安全策略,因為我們的業務規模很小 事實:每個人和每個公司都需要安全策略 **神話 2** 安全測試沒有投資回報 事實:安全測試可以指出需要改進的地方,這些地方可以提高效率并減少停機時間,從而實現最大的吞吐量。 **誤區 3** :唯一的保護方法是拔下插頭。 事實:確保組織安全的唯一且最佳方法是找到“完美的安全性”。 通過執行狀態評估并將其與業務,法律和行業理由進行比較,可以實現完美的安全性。 **誤區 4** :互聯網不安全。 我將購買軟件或硬件來保護系統并節省業務。 事實:最大的問題之一是購買軟件和硬件以提高安全性。 相反,組織應首先了解安全性,然后再應用它。 **結論:** 安全測試是對應用程序最重要的測試,它檢查機密數據是否保持機密。 在這種類型的測試中,測試人員扮演攻擊者的角色,并在系統中四處尋找安全相關的錯誤。 安全測試在軟件工程中對于通過各種方式保護數據非常重要。
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看