软件安全性测试包括程序、数据库安全性测试,根据系统安全指标不同测试策略也不同
软件安全性测试的作用:
1. 能明确区分系统中不同用户权限
2. 能判断软件系统中是否会出现用户冲突
3. 能判断系统是否会因用户的权限的改变造成混乱。
4. 用户登录密码是否是可见、可复制
5. 是否可以通过途径登录系统(拷贝用户登录后的链接直接进入系统)
6. 用户推出系统后是否删除所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统。
Web安全性测试涉及内容:
1. 动态跟踪元素属性
2. 检查JavaScript事件
3. 跨站脚本攻击(XSS)
4. 跨站请求伪造攻击(CSRF)
5. 拒绝服务攻击(DOS)
6. Cookie劫持
7. 输入验证
8. 浏览器安全问题
9. 文件上传风险
10. Web服务器端安全性
11. MSIIIS漏洞检验
12. Apache/Tomcat/…漏洞检验
13. 内容安全性
14. 会话管理
15. 截获和修改post请求
16. SQL注入及其实例
17. AJAX安全性测试
18. 多系统单点登录机制
19. 渗透性Web安全测试
20. 使用工具扫描SQL注入漏洞
21. 使用Firebug观察实时的请求头
22. 使用Webscarab观察实时的post数据
23. 使用Tamperdata观察实时的响应头
24. 使用curl检验URL重定向攻击
25. 使用nikto扫描网站
软件安全属于软件领域里一个重要的子领域。在以前的单机时代,安全问题主要是操作系统容易感染病毒,单机应用程序软件安全问题并不突出。自从互联网普及后,软件安全问题愈加显加突显,使得软件安全性测试的重要性上升到一个前所未有的高度。
