安全测试
安全测试
什么是安全测试?
安全测试是一种测试技术,用于确定信息系统是否按预期保护数据和维护功能。它还旨在验证以下列出的 6 项基本原则:
-
保密
-
正直
-
验证
-
授权
-
可用性
-
不可否认性
安全测试 – 技术:
-
注射
-
损坏的身份验证和会话管理
-
跨站脚本 (XSS)
-
不安全的直接对象引用
-
安全配置错误
-
敏感数据暴露
-
缺少功能级访问控制
-
跨站请求伪造 (CSRF)
-
使用具有已知漏洞的组件
-
未经验证的重定向和转发
开源/免费安全测试工具:
| Product | 小贩 | 网址 |
|---|---|---|
| FxCop | 微软 | https://www.owasp.org/index.php/FxCop |
| FindBugs | 马里兰大学 | http://findbugs.sourceforge.net/ |
| FlawFinder | 通用公共许可证 | http://www.dwheeler.com/flawfinder/ |
| Ramp Ascend | 通用公共许可证 | http://www.deque.com |
商业安全测试工具:
| Product | 小贩 | 网址 |
|---|---|---|
| Armorize CodeSecure | 装甲技术 | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | 语法技术 | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | 维拉码 | http://www.veracode.com |
