代码测试工具_软件压力测试_web应用安全测试-道普云

行业新闻

什么是安全测试?

安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。它一般是在产品开发基本完成到发布阶段才会去做的一件事情,这是一个普遍现象,但其实安全应该提前到更早,在设计阶段就应该把安全考虑进去,在设计的时候就验证产品的安全等级是什么样子,在最终实现的过程中再去一步步检验安全是不是达到了设计的标准。

 

另外,安全测试属于产品的安全需求定义书里定义的内容,也符合行业的质量标准,属于非功能需求的检验范畴,有时候我们的需求文档里可能都不体现安全,只说系统需要具备安全性,至于安全性是什么水平不明说,遵循什么样的国际标准或者国家标准也不明说,这个就需要我们安全从业人员去推广,或者通过培训,让公司、团队有安全意识。慢慢把这部分内容补充进去,才有的检验,否则就没有一个参考标准。

 

安全测试与普通的测试有一些区别,功能测试是保证产品能够正常工作,输入A可以出来A的结果,输入B可以出来B的结果,但是安全问题是你可能输入的是%、输入的是*或者是“or 1=1”这种特殊的构造字符串,它能绕过程序设计逻辑,导致程序给用户暴露了不该暴露的数据。

 

我们一般认为大公司或者国外领先的公司的安全性是不错的,但其实也不一定,就像facebook它会暴漏个人隐私。我们知道个人隐私不属于程序设计方面的问题,但是在收集使用过程中它仍然属于安全,这种是数据的安全,数据的使用安全跟数据的收集安全,这也是国家从去年到今年一直在严厉打击的。非法收集公民个人信息,包括快递信息,家庭住址、电话...包括身份证的正反面、手持身份证的照片等信息,收集之后就有保管、保证其安全不泄露的义务。

 

这些都是功能测试里面所没有的,功能测试只是保证功能可以正常运转,上传一张手持身份证照片,上传完成后提示上传成功,但是上传成功之后,能不能被窃取到,安全测试去检查,不是功能测试检查的范畴。


目标不同:测试以发现BUG为目标,安全测试以发现安全隐患为目标。

 

假设条件不同:测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面。安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。

 

思考域不同:测试以系统所具有的功能为思考域。安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。

 

问题发现模式不同:测试以违反功能定义为判断依据。安全测试以违反权限与能力的约束为判断依据。


现在注册/登录,测试工具免费试用

申请试用