开展应用软件安全测试所需技术储备
2015-09-10 15:34
330 查看
用户端和服务端分离式架构的应用系统有两种:C/S架构以及B/S架构,安全测试的主要对象也是这两种(单机版的应用程序对安全性要求相对低一些)。要测试这类软件,相关知识需要逐步积累。
1. 编码知识
安全问题很多时候是由于编码采用不安全的方式,带来隐患导致的,所以对编码知识的熟悉必不可少。编程语言的基本思想都是想通的,只是表达方式不一样,所以要开展至少熟悉一门开发语言必不可少。B/S架构的应用软件在部署时比较简单,并且访问方便,这类系统也是进行安全测试最多的。对web系统进行安全测试分析时,会涉及到很多方面的知识,JAVA、HTML、JavaScript等等。
2. 渗透知识
由于现在的Web服务器大都托管到较大的机房中,一般前端都有防火墙,从用户浏览界面伪装合法访问进入到Web服务器获取信息是一个省力的捷径。对web应用系统进行安全测试(可借助工具进行安全扫描之后进行结果分析),基础的渗透知识不可或缺。
3. 网络(通信)知识,操作系统,应用软件
导致Web应用系统安全问题的不仅仅是自身,还可能是浏览器、Apache、IIS等应用软件的漏洞“传染”的,又或者是操作系统漏洞或者拓扑结构中的网络通信设备,等等。
4. 资源访问控制知识
资源包括数据资源,操作权限等等方面,脆弱的控制机制可能导致严重的安全问题,有效原则的使用可以加强资源控制(最小权限原则等)。
5. 数据库知识
现在的应用系统几乎都离不开数据库,保障数据的安全是保障应用系统的安全的重要方面。在信息时代数据的重要性不言而喻,不安全的存储方式及机制会导致数据泄密、损坏等多种问题,带来巨大损失。
6. 员工管理中的安全意识及机制
据统计内部员工泄密或操作不当等导致的安全问题,远远多于外部攻击导致的,所以加强员工的安全意识及管理机制是保障安全的重要一环。
7. 其他
对不同的应用系统而言对安全性都有其自身的“个性”要求,可能来源于设计者也可能来源于用户的特殊需求。但是软件工程知识、信息安全审计知识以及相关辅助工具的准备等,需要时时关注,点滴积累。
知识储备是一个长期、持续的过程,只有这样,在安全测试项目开展时才能保证高效、高质的完成。
1. 编码知识
安全问题很多时候是由于编码采用不安全的方式,带来隐患导致的,所以对编码知识的熟悉必不可少。编程语言的基本思想都是想通的,只是表达方式不一样,所以要开展至少熟悉一门开发语言必不可少。B/S架构的应用软件在部署时比较简单,并且访问方便,这类系统也是进行安全测试最多的。对web系统进行安全测试分析时,会涉及到很多方面的知识,JAVA、HTML、JavaScript等等。
2. 渗透知识
由于现在的Web服务器大都托管到较大的机房中,一般前端都有防火墙,从用户浏览界面伪装合法访问进入到Web服务器获取信息是一个省力的捷径。对web应用系统进行安全测试(可借助工具进行安全扫描之后进行结果分析),基础的渗透知识不可或缺。
3. 网络(通信)知识,操作系统,应用软件
导致Web应用系统安全问题的不仅仅是自身,还可能是浏览器、Apache、IIS等应用软件的漏洞“传染”的,又或者是操作系统漏洞或者拓扑结构中的网络通信设备,等等。
4. 资源访问控制知识
资源包括数据资源,操作权限等等方面,脆弱的控制机制可能导致严重的安全问题,有效原则的使用可以加强资源控制(最小权限原则等)。
5. 数据库知识
现在的应用系统几乎都离不开数据库,保障数据的安全是保障应用系统的安全的重要方面。在信息时代数据的重要性不言而喻,不安全的存储方式及机制会导致数据泄密、损坏等多种问题,带来巨大损失。
6. 员工管理中的安全意识及机制
据统计内部员工泄密或操作不当等导致的安全问题,远远多于外部攻击导致的,所以加强员工的安全意识及管理机制是保障安全的重要一环。
7. 其他
对不同的应用系统而言对安全性都有其自身的“个性”要求,可能来源于设计者也可能来源于用户的特殊需求。但是软件工程知识、信息安全审计知识以及相关辅助工具的准备等,需要时时关注,点滴积累。
知识储备是一个长期、持续的过程,只有这样,在安全测试项目开展时才能保证高效、高质的完成。
相关文章推荐
- android 设计模式——单例模式
- 0909开启编译原理之路
- EF框架
- Eclispe怎么给工作空间下的项目分组
- css不用旋转实现返回箭头,圆点,三角形
- test2
- MYSQL 创建用户
- Linux Shell下的后台运行及其前台的转换 http://mobile.51cto.com/others-446925.htm
- 安卓驱动学习笔记1----关于友善之臂SD卡烧写的问题
- hessian入门与springMVC框架集成---客户端调用
- 沙盒中的数据存取
- Linux-LVS+keepalived-Testing
- css不用旋转实现返回箭头,圆点,三角形
- 海量数据处理
- 沈阳微信二维码营销技巧(不得不看)
- Chipsee BeagleBone Black完整启动日志
- 拆字
- CornerStone commit不成功解决方案
- WebApi 自定义过滤器实现支持AJAX跨域的请求
- spring所需包下载