行业类型商业服务
服务内容软件产品安全测试报告
认证种类软件测试报告
所在地长沙
目 的鉴定、审核软件
方 式人工操作或者软件自动运行
工作内容验证和确认
领 域IT行业、有信息化管理的各行业
软件安全属于软件领域里一个重要的子领域,在以前的单机时代,安全问题主要是操作系统*感染病毒,单机应用程序软件安全问题并不**,但是自从互联网普及后,软件安全问题愈加显加突显,使得软件安全性测试的重要性上升到一个**的高度。
软件测试中的安全测试包括哪些方面:
1、xss跨站脚本攻击:数据输入参数中输入简单的js语句看会不会执行,常见的恶意JS脚本有获取用户的cookie、或者是键盘钩子来记录用户的键盘输入;
2、sql 注入:在查询参数中,输入正确的查询条件1=1,其他SQL,查看返回结果,目前这种安全性问题已经绝迹了,除非是lowb写的代码;
3、登录认证:抓包是否存在明文的用户名和密码;
4、代码注释:源代码注释部分是否含有敏感信息;
5、锁定机制:多次登录错误,对账号进行临时锁定;
6、验证码:验证码需一致方可通过验证;
7、修改密码:需输入旧密码或者发送短信验证;
8、默认账户名称:默认账户名称密码,设置复杂些;
9、错误页面跳转提示:跳转的提示是否出现代码等错误,捕获异常跳转至同一错误页面,避免对外泄露详细错误信息。
软件安全测试反向安全性测试过程:
1、建立缺陷威胁模型:建立缺陷威胁模型主要是从已知的安全漏洞入手,检查软件中是否存在已知的漏洞,建立威胁模型时,需要先确定软件牵涉到哪些领域,再根据各个领域所遇到的攻击手段来进行建模;
2、寻找和扫描入侵点:检查威胁模型里的哪些缺陷可能在本软件中发生,再将可能发生的威胁纳入入侵点矩阵进行管理,如果有成熟的漏洞扫描工具,那么直接使用漏洞扫描工具进行扫描,然后将发现的可疑问题纳入入侵点矩阵进行管理;
3、入侵矩阵的验证测试:创建好入侵矩阵后,然后可以针对入侵矩阵的具体条目设计对应的测试用例,然后进行测试验证。
软件安全测试一般分为两个层次:
1、即应用程序级别的安全性和操作系统级别的安全性,应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据等;
2、操作系统级别的安全性是确保只有具备系统平台访问权限的用户才能访问,包括对系统的登录或远程访问。
软件安全测试流程阶段:
1、测试准备:确定测试对象、测试范围、测试相关人员权责;
2、测试方案:按要求整理撰写《安全测试方案》 ,并完成方案审批;
3、测试计划: 测试方案通过后, 协调确认各相关人员时间, 形成测试计划;
4、实施测试:按计划实施软件安全测试工作,输出《软件安全测试报告》 ;
5、回归测试:问题修复,回归测试循环进行,直到没有新的问题出现;
6、测试总结:测试过程总结,输出文档评审,相关文档归档。
我们公司本着“客户**、服务至上”的宗旨,牢记“让每个客户都用好产品”的使命,与各界朋友广泛合作,携手共进,共创美好未来。
http://zmrjcp.b2b168.com
