freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

15_軟件安全測試ppt44頁)(編輯修改稿)

2025-03-07 23:09 本頁面
 

【文章內(nèi)容簡介】 能面臨的威脅,將威脅進(jìn)行分類,可以畫出威脅樹; ? 4:選擇應(yīng)付威脅或者緩和威脅的方法; ? 5:確定最終解決這些威脅的技術(shù) 既然在設(shè)計(jì)階段,就將系統(tǒng)可能出現(xiàn)的一些安全問題寫在文檔里面了,因此,安全性測試也應(yīng)該是基于這些內(nèi)容。 因此,軟件安全測試的過程可以分為以下幾個(gè)步驟: ? 1:基于前面設(shè)計(jì)階段制定的威脅模型,設(shè)計(jì)測試計(jì)劃。 該過程一般基于威脅樹,以第一章畫出的針對(duì)用戶口令安全問題威脅樹為例,如圖 152所示: 測試計(jì)劃就可以基于口令安全所可能遭受的各個(gè)攻擊進(jìn)行制定。 ? 2:將安全測試的最小組件單位進(jìn)行劃分,并確定組件的輸入格式。 實(shí)際上,和傳統(tǒng)的測試不同,威脅模型中,并不是所有的模塊都會(huì)有安全問題,因此,我們只需將需要安全測試的某一部分程序取出來進(jìn)行測試,將安全測試的最小組件單位進(jìn)行劃分。 此外,每個(gè)組件都提供了接口,也就是輸入,在測試階段,測試用例需要進(jìn)行輸入,這就必須將每個(gè)接口的輸入類型、輸入格式等都列出來,便于測試用例的制定。這些輸入如: ?? ? Socket數(shù)據(jù); ? 無線數(shù)據(jù); ? 命令行; ? 語音設(shè)備; ? 串口; ? HTTP提交;等等。 ? 3:根據(jù)各個(gè)接口可能遇到的威脅,或者系統(tǒng)的潛在漏洞,對(duì)接口進(jìn)行分級(jí)。 在該步驟中,主要是確定系統(tǒng)將要受到的威脅的嚴(yán)重性,將比較嚴(yán)重的威脅進(jìn)行優(yōu)先的測試,這個(gè)嚴(yán)重性的判斷,應(yīng)該來源于威脅模型。 可以通過很多方法對(duì)接口受到的威脅性進(jìn)行分級(jí),文獻(xiàn) 2中推薦了一種積分制方法,對(duì)各個(gè)接口可能受到的各種威脅進(jìn)行積分,最后累加,優(yōu)先測試那些分?jǐn)?shù)排在前面的接口。 ? 4:確定輸入數(shù)據(jù),設(shè)計(jì)測試用例。 每一個(gè)接口可以輸入的數(shù)據(jù)都不相同,由于安全測試不同于普通的測試,因此還要更加精心地設(shè)計(jì)測試用例。有時(shí)候還要精心設(shè)計(jì)輸入的數(shù)據(jù)結(jié)構(gòu),如隨機(jī)數(shù)、集合等的設(shè)計(jì),都要必須是為安全測試服務(wù)的。 在測試用例的設(shè)計(jì)過程中,必須要了解,安全測試實(shí)際上是對(duì)程序進(jìn)行的安全攻擊,因此,不但數(shù)據(jù)本身需要精心設(shè)計(jì),測試手段也要精心設(shè)計(jì)。如在對(duì)緩沖區(qū)溢出的測試中,必須精心設(shè)計(jì)各種輸入,從不同的方面來對(duì)程序進(jìn)行攻擊。 表 152 為 Web網(wǎng)站中可以設(shè)計(jì)的測試用例 (這里省去具體的輸入,僅列出測試的手段 )。 ? 5:攻擊應(yīng)用程序,查看其效果。 用設(shè)計(jì)的測試用例來攻擊應(yīng)用程序,使得系統(tǒng)處于一種受到威脅的狀態(tài),來得到輸出。 ? 6:總結(jié)測試結(jié)果,提出解決方案。 本過程中,將預(yù)期輸出和實(shí)際輸出進(jìn)行比較,得出結(jié)論,寫出測試報(bào)告,最后提交相應(yīng)的人員,進(jìn)行錯(cuò)誤解決。 以上是測試的過程,近年來,關(guān)于安全性測試,還研究出了一些成果,借計(jì)算機(jī)來進(jìn)行自動(dòng)的測試,這些成果主要包括以下幾種: ? 1:用形式化方法進(jìn)行安全測試。 該方法用用狀態(tài)遷移系統(tǒng)描述軟件的行為,將軟件的功能用計(jì)算邏輯和邏輯演算來表達(dá),通過邏輯上的推理和搜索,來發(fā)現(xiàn)軟件中的漏洞。 ? 2:基于模型的安全功能測試。 在該方法中,首先對(duì)軟件的結(jié)構(gòu)和功能進(jìn)行建模,生成測試模型,然后利用測試模型導(dǎo)出測試用例。該方法的成功與否,取決于建模的準(zhǔn)確性,對(duì)身份認(rèn)證、訪問控制等情況下安全測試比較適用。常用模型有: ? UML模型; ? 馬爾可夫鏈模型;等等。 ? 3:基于輸入語法進(jìn)行測試。 接口的輸入語法,定義了軟件接受的輸入數(shù)據(jù)的類型、格式等。該類方法中,首先提取被測接口的輸入語法,如命令行、文件、環(huán)境變量、套接字,然后根據(jù)這些語法,生成測試用例。此類測試方法比較適用于被測軟件有較明確的接口語法的情況,范圍較窄。 ? 4:采用隨機(jī)方法進(jìn)行測試。 該方法又稱為模糊測試,將隨機(jī)的不合法數(shù)據(jù)輸入到程序中,有時(shí)候能夠發(fā)現(xiàn)一些意想不到的錯(cuò)誤,在安全性測試中越來越受到重視。 軟件測試本來是軟件工程中研究比較活躍的一個(gè)分支,針對(duì)安全測試的研究也收到較多學(xué)者的重視。有關(guān)一些安全測試方面的最新進(jìn)展,讀者可以參考相關(guān)文獻(xiàn)。 ? 比較熱門的方向包括: ? 權(quán)限系統(tǒng)的自動(dòng)測試; ? 形式化方法對(duì)測試用例的表達(dá); ? 分布式環(huán)境下的測試; ? 云計(jì)算環(huán)境下的測試;等等。 安全審查 安全審查是指對(duì)軟件產(chǎn)品進(jìn)行安全方面的人工檢查,是軟件質(zhì)量保證的一個(gè)重要環(huán)節(jié),主要包括: ? 代碼
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1