freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

15_軟件安全測(cè)試ppt44頁(yè))(編輯修改稿)

2025-03-07 23:09 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 能面臨的威脅,將威脅進(jìn)行分類,可以畫出威脅樹; ? 4:選擇應(yīng)付威脅或者緩和威脅的方法; ? 5:確定最終解決這些威脅的技術(shù) 既然在設(shè)計(jì)階段,就將系統(tǒng)可能出現(xiàn)的一些安全問(wèn)題寫在文檔里面了,因此,安全性測(cè)試也應(yīng)該是基于這些內(nèi)容。 因此,軟件安全測(cè)試的過(guò)程可以分為以下幾個(gè)步驟: ? 1:基于前面設(shè)計(jì)階段制定的威脅模型,設(shè)計(jì)測(cè)試計(jì)劃。 該過(guò)程一般基于威脅樹,以第一章畫出的針對(duì)用戶口令安全問(wèn)題威脅樹為例,如圖 152所示: 測(cè)試計(jì)劃就可以基于口令安全所可能遭受的各個(gè)攻擊進(jìn)行制定。 ? 2:將安全測(cè)試的最小組件單位進(jìn)行劃分,并確定組件的輸入格式。 實(shí)際上,和傳統(tǒng)的測(cè)試不同,威脅模型中,并不是所有的模塊都會(huì)有安全問(wèn)題,因此,我們只需將需要安全測(cè)試的某一部分程序取出來(lái)進(jìn)行測(cè)試,將安全測(cè)試的最小組件單位進(jìn)行劃分。 此外,每個(gè)組件都提供了接口,也就是輸入,在測(cè)試階段,測(cè)試用例需要進(jìn)行輸入,這就必須將每個(gè)接口的輸入類型、輸入格式等都列出來(lái),便于測(cè)試用例的制定。這些輸入如: ?? ? Socket數(shù)據(jù); ? 無(wú)線數(shù)據(jù); ? 命令行; ? 語(yǔ)音設(shè)備; ? 串口; ? HTTP提交;等等。 ? 3:根據(jù)各個(gè)接口可能遇到的威脅,或者系統(tǒng)的潛在漏洞,對(duì)接口進(jìn)行分級(jí)。 在該步驟中,主要是確定系統(tǒng)將要受到的威脅的嚴(yán)重性,將比較嚴(yán)重的威脅進(jìn)行優(yōu)先的測(cè)試,這個(gè)嚴(yán)重性的判斷,應(yīng)該來(lái)源于威脅模型。 可以通過(guò)很多方法對(duì)接口受到的威脅性進(jìn)行分級(jí),文獻(xiàn) 2中推薦了一種積分制方法,對(duì)各個(gè)接口可能受到的各種威脅進(jìn)行積分,最后累加,優(yōu)先測(cè)試那些分?jǐn)?shù)排在前面的接口。 ? 4:確定輸入數(shù)據(jù),設(shè)計(jì)測(cè)試用例。 每一個(gè)接口可以輸入的數(shù)據(jù)都不相同,由于安全測(cè)試不同于普通的測(cè)試,因此還要更加精心地設(shè)計(jì)測(cè)試用例。有時(shí)候還要精心設(shè)計(jì)輸入的數(shù)據(jù)結(jié)構(gòu),如隨機(jī)數(shù)、集合等的設(shè)計(jì),都要必須是為安全測(cè)試服務(wù)的。 在測(cè)試用例的設(shè)計(jì)過(guò)程中,必須要了解,安全測(cè)試實(shí)際上是對(duì)程序進(jìn)行的安全攻擊,因此,不但數(shù)據(jù)本身需要精心設(shè)計(jì),測(cè)試手段也要精心設(shè)計(jì)。如在對(duì)緩沖區(qū)溢出的測(cè)試中,必須精心設(shè)計(jì)各種輸入,從不同的方面來(lái)對(duì)程序進(jìn)行攻擊。 表 152 為 Web網(wǎng)站中可以設(shè)計(jì)的測(cè)試用例 (這里省去具體的輸入,僅列出測(cè)試的手段 )。 ? 5:攻擊應(yīng)用程序,查看其效果。 用設(shè)計(jì)的測(cè)試用例來(lái)攻擊應(yīng)用程序,使得系統(tǒng)處于一種受到威脅的狀態(tài),來(lái)得到輸出。 ? 6:總結(jié)測(cè)試結(jié)果,提出解決方案。 本過(guò)程中,將預(yù)期輸出和實(shí)際輸出進(jìn)行比較,得出結(jié)論,寫出測(cè)試報(bào)告,最后提交相應(yīng)的人員,進(jìn)行錯(cuò)誤解決。 以上是測(cè)試的過(guò)程,近年來(lái),關(guān)于安全性測(cè)試,還研究出了一些成果,借計(jì)算機(jī)來(lái)進(jìn)行自動(dòng)的測(cè)試,這些成果主要包括以下幾種: ? 1:用形式化方法進(jìn)行安全測(cè)試。 該方法用用狀態(tài)遷移系統(tǒng)描述軟件的行為,將軟件的功能用計(jì)算邏輯和邏輯演算來(lái)表達(dá),通過(guò)邏輯上的推理和搜索,來(lái)發(fā)現(xiàn)軟件中的漏洞。 ? 2:基于模型的安全功能測(cè)試。 在該方法中,首先對(duì)軟件的結(jié)構(gòu)和功能進(jìn)行建模,生成測(cè)試模型,然后利用測(cè)試模型導(dǎo)出測(cè)試用例。該方法的成功與否,取決于建模的準(zhǔn)確性,對(duì)身份認(rèn)證、訪問(wèn)控制等情況下安全測(cè)試比較適用。常用模型有: ? UML模型; ? 馬爾可夫鏈模型;等等。 ? 3:基于輸入語(yǔ)法進(jìn)行測(cè)試。 接口的輸入語(yǔ)法,定義了軟件接受的輸入數(shù)據(jù)的類型、格式等。該類方法中,首先提取被測(cè)接口的輸入語(yǔ)法,如命令行、文件、環(huán)境變量、套接字,然后根據(jù)這些語(yǔ)法,生成測(cè)試用例。此類測(cè)試方法比較適用于被測(cè)軟件有較明確的接口語(yǔ)法的情況,范圍較窄。 ? 4:采用隨機(jī)方法進(jìn)行測(cè)試。 該方法又稱為模糊測(cè)試,將隨機(jī)的不合法數(shù)據(jù)輸入到程序中,有時(shí)候能夠發(fā)現(xiàn)一些意想不到的錯(cuò)誤,在安全性測(cè)試中越來(lái)越受到重視。 軟件測(cè)試本來(lái)是軟件工程中研究比較活躍的一個(gè)分支,針對(duì)安全測(cè)試的研究也收到較多學(xué)者的重視。有關(guān)一些安全測(cè)試方面的最新進(jìn)展,讀者可以參考相關(guān)文獻(xiàn)。 ? 比較熱門的方向包括: ? 權(quán)限系統(tǒng)的自動(dòng)測(cè)試; ? 形式化方法對(duì)測(cè)試用例的表達(dá); ? 分布式環(huán)境下的測(cè)試; ? 云計(jì)算環(huán)境下的測(cè)試;等等。 安全審查 安全審查是指對(duì)軟件產(chǎn)品進(jìn)行安全方面的人工檢查,是軟件質(zhì)量保證的一個(gè)重要環(huán)節(jié),主要包括: ? 代碼
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1