确保软件安全:安全功能测试、漏洞扫描、渗出测试和源代码检查
随着信息技能的飞速发展,软件安全问题日益凸显。历史上因为软件安全问题危害企业信誉,陵犯个人隐私信息的案例比比皆是,例如: 2017年的Equifax 数据泄露事件,Equifax是一家大型信用陈诉机构。2017年9月,该公司公布其体系遭受了严峻的数据泄露,影响了约1.43亿美国消耗者的个人信息。此次数据泄露的重要缘故原由是Equifax未能及时修补其Apache Struts Web应用框架中的一个已知漏洞(CVE-2017-5638)。攻击者利用该漏洞获得了对Equifax体系的访问权限,进而窃取了大量敏感信息。这次信息泄露令Equifax面对数亿美元的巨额罚款以及补偿,荣誉严峻受损,股价大幅降落,别的,上亿美国消耗者个人信息泄露,包罗:姓名、社会安全号码、出生日期、地址等。由Equifax公司的案例提供的履历和教训可以得出软件安全跟每个人都痛痒相关,无论是企业照旧个人,都面对着各种网络安全威胁。那么我们应该怎么应对呢?信息安全性检测:安全功能测试、漏洞扫描、渗出测试和源代码检查,帮助企业、社会提高软件的安全性。
https://i-blog.csdnimg.cn/direct/1ad6ff0ef9774ae49842e47d34a83f1b.png
1. 安全功能测试
安全功能测试是验证软件的安全功能是否按预期工作的过程。这些功能包罗用户认证、授权、加密、审计日记等。
测试内容
[*]用户认证:验证用户登录机制的有效性,如用户名和密码验证、多因素认证等。
[*]授权:确保用户只能访问其被授权的资源,防止权限滥用。
[*]加密:验证数据传输和存储的加密机制是否有效。
[*]审计日记:检查体系是否记录了所有安全相关的操作,以便事后追溯。
[*]中检南边测试项目:身份辨认、访问控制、安全审计、会话管理、数据保密性、数据完备性、软件容错、资源控制
测试工具和标准
[*]工具:OWASP ZAP、Burp Suite、Postman等。
[*]标准:ISO/IEC 27001、NIST SP 800-53等。
2. 漏洞扫描
指基于漏洞数据库,通过扫描等本领对指定长途服务或者本地计算机体系的安全脆弱性进行检测, 发现可利用漏洞的一种安全检测行为。
测试内容
[*]网络漏洞:检查网络装备和服务器是否存在已知的安全漏洞。
[*]应用漏洞:检查应用步调是否存在SQL注入、XSS攻击、CSRF等漏洞。
[*]配置漏洞:检查体系配置是否符合安全最佳实践。
[*]中检南边测试项目:端口扫描、主机扫描、目录扫描、WEB CGI扫描等。
测试工具
[*]网络漏洞扫描:Nessus、OpenVAS、Qualys等。
[*]应用漏洞扫描:OWASP ZAP、Burp Suite、Acunetix等。
3. 渗出测试
渗出在漏扫的基础上,进行的授权模仿攻击,挖掘更深条理的漏洞,并评估漏洞危害
,更大家更深入的相识漏洞。
[*]黑盒测试:不提供体系内部信息,完全模仿外部攻击者的行为。
[*]白盒测试:提供体系内部信息,模仿内部攻击者的行为。
[*]灰盒测试:介于黑盒和白盒之间,提供部分体系内部信息。
[*]中检南边测试项目:溢出漏洞、弱口令漏洞、业务逻辑漏洞等。
测试工具
[*]网络渗出测试:Metasploit、Nmap、Wireshark等。
[*]应用渗出测试:OWASP ZAP、Burp Suite、Sqlmap等。
4. 源代码检查
由对安全编码原则及应用安全具有深刻理解的安全服务职员对体系的源代码进行全面的安全检查。
测试内容
[*]代码审计:人工审查代码,发现逻辑错误和安全漏洞。
[*]静态分析:使用自动化工具对代码进行分析,发现潜伏问题。
[*]代码规范:检查代码是否符合安全编码规范。
[*]中检南边测试项目:(1)整理代码审计,采用工具进行自动化审计,代码代码覆盖率100%+人工复核。(2)功能点人工代码审计,针对体系重点功能模块采用人工代码走查
测试工具
[*]静态分析工具:SonarQube、Fortify、Checkmarx等。
[*]代码审计工具:GitHub CodeQL、Pylint、ESLint等
感谢观看,如有需要请接洽我们。
https://i-blog.csdnimg.cn/direct/9a6e220db9d94d4794bb14e3b4c6945e.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]