其他
软件测试术语 - 安全测试
本公众号所有内容,均属微信公众号: 开源测试评论 所有,任何媒体、网站或个人未经授权不得转载、链接、转贴或以其他方式复制发布/发表。已经本公众号协议授权的媒体、网站,在使用时必须注明"稿件来源微信公众号:开源测试评论",违者本公众号将依法追究责任。
安全测试
英文:Security Testing
什么是安全测试
安全测试是一种测试技术,用于确定信息系统是否保护数据并按照预期的方式维护功能。
旨在验证以下列出的6项基本原则:
保密
完整性
认证
授权
可用性
不可抵赖性
技术
注入
身份验证和会话管理中断
跨站点脚本(XSS)
不安全的直接对象引用
错误配置
敏感数据暴露
缺失的功能级访问控制
跨站请求伪造(CSRF)
使用已知漏洞的组件
用户重定向和转发
开源工具
| 名称 | 厂商/许可 | URL |
|---|---|---|
| FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
| FindBugs | The University of Maryland | http://findbugs.sourceforge.net/ |
| FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
| Ramp Ascend | GPL | http://www.deque.com |
商业工具
| 名称 | 厂商 | URL |
|---|---|---|
| Armorize CodeSecure | Armorize Technologies | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | VERACODE | http://www.veracode.com |
长按关注OSTRChinese