软件安全测试新武器——浅谈基于Dynamic Taint Propagation的测试技术

软件安全测试是保证软件能够安全使用的最主要的手段，如何进行高效的安全测试成为业界关注的话题。多年的安全测试经验告诉我们，做好软件安全测试的必要条件是：一是充分了解软件安全漏洞，二是拥有高效的软件安全测试技术和测试工具。     

如何做好软件安全性测试

软件安全性测试是软件测试过程中一个长期重要的课题,什么是软件安全性测试,如何在测试中评测一个软件到底安全不安全。阐述了常用的软件测试方法,将软件测试中的正向测试和反向测试两种途径应用于软件安全性测试中。最后介绍了一些常见的软件安全性缺陷和漏洞。     

移动安全测试方案

本文通过对目前国内移动安全现状和测试经验的梳理,分析了移动安全测试的关注要点,并提出一个比较完整、高效的移动安全测试解决方案,能够大幅提高测试人员的测试效率及安全测试的覆盖面。     

场景—事件驱动的安全苛求软件系统仿真测试脚本语言研究

脚本技术是实现软件测试自动化技术的有效方法。软件测试脚本化可以降低测试成本,提高测试效率。测试脚本语言是脚本技术的核心,但是目前没有专门针对安全苛求软件测试的脚本语言。因此结合安全苛求软件测试的特点,提出了场景—事件驱动的针对安全苛求软件仿真测试的通用测试脚本语言SED_SCS_STL, 对该语言的设计以及在测试环境中的实现机制进行了阐述,并将其应用于高速铁路CTCS-2级车站列控中心的软件仿真测试中。     

手机软件二进制代码静态逆向安全测试例析

二进制代码逆向分析是应用软件安全测试中对技术能力要求较高的一种方法。本文以实际工作案例为基础,详细介绍了对某手机端下载软件进行静态逆向安全测试的思路、方法、过程以及注意事项。     

基于Peach Fuzz的媒体网关安全测试

随着互联网技术和计算机技术的发展,软件在各行各业的应用越来越广泛。随之而来的软件安全问题也越来越突出。在常见的软件安全测试工具中,Peach Fuzz是一款优秀的安全测试工具,能在多种操作系统上运行,支持多种协议的模糊测试。结合媒体网关安全测试工作实践,介绍了Peach Fuzz测试的基本结构和特点;介绍了H.248协议和SCTP协议;叙述了媒体网关的测试模型;详细叙述了基于Peach Fuzz的媒体网关安全测试过程,其主要内容包括搭建和部署Peach Fuzz测试执行机、测试执行机对接测试环境、Peach Fuzz测试套的调试和连跑、Peach Fuzz测试的观测方法、测试结果分析。最后介绍了一个测试案例。工作实践表明采用Peach Fuzz工具进行媒体网关安全测试,有助于提高媒体网关产品的安全可靠性,提升产品质量。     

软件安全测试的最佳实践

当测试人员在进行软件安全测试,发现了安全漏洞时,他们要如何管理,并区分这些漏洞的优先级？在软件中发现安全缺陷是一件事,而确保问题处理行当确是另外一件事。我执行的许多渗透测试和web安全评估中,我发现处理这类问题极具挑战。发现漏洞,并把具体发现和解决方案以正式执行的形式存档。     

信息系统安全测试框架

提出一种信息系统安全测试的框架,包括信息系统安全测试的策略、基础理论、方法和工程等,为建立一个标准的、一致性的信息系统安全测试对比基准提供了基础。给出4种信息系统安全测试分析方法和2种测试方式。     

软件安全性测试研究

随着软件的广泛应用和其规模、复杂度的不断提高,软件安全性问题日益突出。软件安全性测试是保证软件安全和质量、降低软件安全风险的重要手段。阐述了软件安全性测试概念,重点研究了国内外软件安全性测试的主要方法与工具,最后以一个SQL注入实例具体说明安全性测试的实施。     

一种集成安全测试的软件设计方法

文章提出了一种集成安全测试的软件设计方法以及如何在设计阶段增强软件的安全性。使用DFD可以把软件内部实现划分可信模块和非可信模块,构造新的安全构造型标识非可信模块,设计安全关键类,分解安全测试用例,加入关键类的安全单元测试,并验证安全模式的有效性。     

利用渗透测试优化行业网络安全管控

信息技术的发展对信息系统的安全要求日益高涨,研究网络安全管控问题日益重要。使用渗透测试技术有利于实现对安全漏洞的精准定位、精确发现和主动报警,并优化监测与整改相结合的网络安全管理控制体系。将渗透测试技术作为管理控制的核心要素之一,优化了风险指数模型,使网络安全管理可控而高效,切实实现管理控制目标。     

基于模糊测试的软件安全漏洞发掘技术研究

近年来,随着计算机网络技术的不断推广和应用的普及人们生活和工作越来越离不开计算机技术。目前,各行各业的发展都逐渐实现信息化。在当今互联网络时代,计算计研究工作仍然在不断深入,很多新专业软件层出不穷,但是软件的安全性是人们高度重视和思考的问题。因此,本文主要分析了模糊测试的定义,阐述了软件安全漏洞存在的危害性。针对模糊测试的软件安全性进行深入的研究,最后,通过软件安全测试试验分析静态测试和动态测试状态下,并且通过本文的研究,对未来模糊软件安全漏洞发掘技术的相关研究进行展望。希望通过本文的分析能为模糊软件安全漏洞发掘技术的研究和推广奠定坚实的基础。     

基于有限状态机的健壮性测试研究

健壮性测试对软件尤其是安全产品有极其重要的意义,本文使用有限状态机来对软件产品进行建模,通过状态扩充和状态对各种异常事件的响应,构建完备的增强有限状态机,使用该模型可以进行健壮性测试。我们利用该方法对GlobalPlatform卡规范中安全通信的安全通道协议SCP02进行了测试。测试结果表明,该方法产生的测试案例包比GP组织认可的测试包具有更高的覆盖性和错误检测能力,该方法产生的案例不仅可以用于健壮性测试,也可以用于功能性和符合性测试。     

无线局域网安全性能测试系统的设计与实现

在主动测试技术、被动测试技术及渗透测试分析基础上,提出一种基于渗透测试方案的无线局域网安全测试系统.该系统可对WEP、WPA、WPA2和WAPI 4种安全机制进行安全协议符合性验证和设备协议安全测试,并进行安全性能评估.对无线局域网组网设备的测试结果证明,该系统能够进行协议一致性测试和渗透测试,可自动集成测试流程.     

基于故障注入的嵌入式软件安全性测试框架及实现

为确保安全关键软件能够稳定工作,需要把验证其中的安全保障措施有效性纳入到测试工作范围,其关键问题和难点是如何在被测软件运行过程中动态模拟其安全保障措施针对的异常状态。为此提出一种辅以故障注入的嵌入式软件安全性测试框架,并给出了实现过程。该框架的核心组件是利用设备建模语言DML和控制脚本构建的运行态故障注入软仿真环境,实验证明可用于单粒子效应等异常环境状态的动态仿真,进而实现对软件的安全性测试。     

面向Web系统的测试和诊断实现

针对目前Web系统的性能、安全和功能缺陷,提出一种"安全+性能+功能"测试与系统诊断相结合的测试方案.系统运行时全面测试性能,包括网络连接、数据库与应用服务器;然后测试系统的功能模块;采用先扫描再攻击的方法发现系统的漏洞与脆弱点;重点对系统的脆弱点进行诊断,全面分析后提出解决方案.使用湖北软件测试平台的测试工具构造测试实例,对某些大型Web网络系统进行了测试,实验结果表明,只有经过全方位检测和诊断后的系统才能得到更好应用.     

新环境下的信息系统安全开发与测试

随着信息化技术的不断发展,现有的信息系统在架构和用户体验上得到不断提升,软件开发的模式也通过敏捷,SaaS等方式得到不断的发展。但与此同时伴随着用户量的增长和用户对信息的敏感,安全问题长期困扰各类软件和互联网公司,软件的安全开发和测试不得不成为的信息系统在新环境下所面临的考验和待解决的关键问题之一。从分析新环境下信息系统研发安全需求入手,着重讨论了在软件生命周期中如何利用微软SDL来进行安全开发,并结合作者提出的安全测试方法来有效提高信息系统的安全性和解决敏感信息泄露等问题。     

解析安全测试与渗透测试的区别

安全测试不同于渗透测试,渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自哪个方面的威胁,正在遭受哪些威胁,以及您的系统已经可抵御什么样的     

开放网络环境下软件安全性测试技术研究

在开放网络环境下软件容易受到攻击,导致软件故障,需要进行安全性测试,针对无监督类测试方法开销较大和复杂度较高的问题,提出一种基于半监督自适应学习算法的软件安全性测试方法;首先采用模糊度量原理构建软件安全测试的半监督学习数学模型,分析软件产生安全性故障的数组特征,然后通过软件故障的熵特征分布方法进行软件的可靠性度量,在开放式网络环境下建立软件可靠性云决策模型,实现安全性测试和故障定位;最后通过仿真实验进行性能验证,结果表明,采用该方法进行软件安全性测试,对软件故障定位的准确度较高,测试的实时性较好,保障了软件的安全可靠运行。     

软件安全性测试方法与工具

软件的应用越来越广泛,规模和复杂度不断提高,软件中的安全缺陷与漏洞也在不断增多,软件安全性问题日益突出.软件安全性测试是保证软件安全性、降低软件安全风险的重要手段.论述了软件安全性测试的特点、内容,重点研究了国内外软件安全性测试的主要方法与工具,分析了各种方法的优缺点与适用范围,提出了一种安全性测试工具的分类方法,总结了当前研究工作并指出了未来软件安全性测试技术的研究重点与发展方向.