目的
提升IT產品的安全質量;
儘量在發布前找到安全問題予以修補降低成本 ;
度量安全。
驗證安裝在系統內的保護機制能否在實際套用中對系統進行保護,使之不被非法入侵,不受各種因素的干擾。
1.提升IT產品的安全質量;
2.儘量在發布前找到安全問題予以修補降低成本 ;
3.度量安全。
4.驗證安裝在系統內的保護機制能否在實際套用中對系統進行保護,使之不被非法入侵,不受各種因素的干擾。
方法
1.模式匹配方法:將程式看作字元串
2.狀態機模型:將程式看作狀態機
3.黑盒模型:將程式看作黑盒子
4.白盒模型:將程式看作路徑的組合
困境
1.測試理論很難適用於安全領域;
2.安全測試基礎理論薄弱,當前測試方法缺少理論指導,也缺乏技術產品工具 。
相關區別
與通常測試區別
1.目標不同:測試以發現BUG為目標,安全測試以發現安全隱患為目標。
2.假設條件不同:測試假設導致問題的數據是用戶不小心造成的,接口一般只考慮用戶界面。安全測試假設導致問題的數據是攻擊者處心積慮構造的,需要考慮所有可能的攻擊途徑。
3.思考域不同:測試以系統所具有的功能為思考域。安全測試的思考域不但包括系統的功能,還有系統的機制、外部環境、套用與數據自身安全風險與安全屬性等。
4.問題發現模式不同:測試以違反功能定義為判斷依據。安全測試以違反許可權與能力的約束為判斷依據。
與滲透測試區別
1.出發點差異:滲透測試是以成功入侵系統,證明系統存在安全問題為出發點;而安全測試則是以發現系統所有可能的安全隱患為出發點。
2.視角差異:滲透測試是以攻擊者的角度來看待和思考問題,安全測試則是站在防護者角度思考問題,儘量發現所有可能被攻擊者利用的安全隱患,並指導其進行修復。
3.覆蓋性差異:滲透測試只選取幾個點作為測試的目標,而安全測試是在分析系統架構並找出系統所有可能的攻擊界面後進行的具有完備性的測試。
4.成本差異:安全測試需要對系統的功能、系統所採用的技術以及系統的架構等進行分析,所以較滲透測試需要投入更多的時間和人力。
5.解決方案差異:滲透測試無法提供有針對性的解決方案;而安全測試會站在開發者的角度分析問題的成因,提供更有效的解決方案。