软件信息安全性测试-安全测试-CMA测试报告

软件安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程，其主要目的是查找软件自身程序设计中存在的安全隐患，并检查应用程序对非法侵入的防范能力，安全指标不同，测试策略也不同。但安全是相对的，安全性测试并不能终证明应用程序是安全的，而只能验证所设立策略的有效性，这些对策是基于威胁分析阶段所做的假设而选择的。例如，测试应用软件在防止非授权的内部或外部用户的访问或故意破坏等情况时的运作。软件安全是软件领域中一个重要的子领域，系统安全性测试包括应用程序和操作系统两个方面的安全性。

一、软件安全性测试一般有以下几种类型

1、漏洞扫描：通过工具自动对代码进行静态分析，用来识别系统组件中是否存在已知的漏洞问题。

2、渗透测试：在安全的情况下模拟外来入侵者对软件系统进行攻击的活动过程，可以发现未知的漏洞。

3、应用程序的安全测试：该测试主要是针对Android/iOS移动App、web等应用，需要收集这类应用程序的相关资料，发现系统缺陷或漏洞。

4、API安全测试：识别API和网络服务中的漏洞(如API注入、XML注入等)。API特别容易受到中间人(man in themiddle，MiTM)攻击等威胁，如窃听API通信并窃取数据或凭证。

5、配置扫描：一般根据合规标准或研究机构的佳实践列表来检查系统，识别软件、网络和其他计算系统的错误配置的活动过程。

6、安全审计：按照定义的法规和安全要求、合规标准来审查代码或架构，分析存在的安全漏洞，评估硬件配置、操作系统和组织实践的安全状况。

而系统安全性又包括两个方面的测试：一是软件漏洞，设计上的缺陷或程序问题，二是数据库的安全性，这也是系统安全性的核心。

二、软件安全性测试方法有哪些?

1、安全基线法

安全基线法就是根据所测试的软件项目安全需求设置一个安全基线，整个安全性测试也都会以这个基线为准，可以的保障软件的安全性，当有超过这个已设定的安全基线时就不用费很多的时间去测试了。

2、安全矩阵法

安全矩阵法指的是用一个矩阵来表示出所有安全活动会发生以及可能发生的概率，从而标识出发生概率的安全活动。这类安全活动是软件安全性测试完成的点。

安全对于网络同样重要，软件安全性测试也对企业开发的软件和使用者至关重要。

软件安全测评要点有哪些?

1.上传功能：绕过文件上传检查功能、上传文件大小和次数限制

2.注册功能：注册请求是否安全传输、注册时密码复杂度是否后台检验、激活链接测试、重复注册、批量注册问题

3.验证码功能：验证码的一次性、验证码绕过、短信验证码轰炸

4.密码安全性要求：密码复杂度要求、密码保存要求

三、软件安全性测试测试策略

用户认证安全的测试要考虑问题:

1. 明确区分系统中不同用户权限

2. 系统中会不会出现用户冲突

3. 系统会不会因用户的权限的改变造成混乱

4. 用户登陆密码是否是可见、可复制

5. 是否可以通过途径登陆系统(拷贝用户登陆后的链接直接进入系统)

6. 用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入

系统网络安全的测试要考虑问题:

1. 测试采取的防护措施是否正确装配好, 有关系统的补丁是否打上

2. 模拟非授权攻击,看防护系统是否坚固

3. 采用成熟的网络漏洞检查工具检查系统相关漏洞(即用的黑客攻击工具攻击试一下,现在常用的是 NBSI 系列和 IPhacker IP)

4. 采用各种木马检查工具检查系统木马情况

5. 采用各种防外挂工具检查系统各组程序的客外挂漏洞

数据库安全考虑问题:

1.系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求)

2.系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整, 对于这个系

统的功能实现有了障碍)

3. 系统数据可管理性

4. 系统数据的立性

5. 系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整