靜態(tài)的代碼安全測試
主要通過對源代碼進行安全掃描���,根據(jù)程序中數(shù)據(jù)流���、控制流�、語義等信息與其特有軟件安全規(guī)則庫進行匹對�����,從中找出代碼中潛在的安全漏洞��。
靜態(tài)的源代碼安全測試是非常有用的方法���,它可以在編碼階段找出所有可能存在安全風險的代碼����,這樣開發(fā)人員可以在早期解決潛在的安全問題�����。而正因為如此����,靜態(tài)代碼測試比較適用于早期的代碼開發(fā)階段��,而不是測試階段�����。
動態(tài)的滲透測試
滲透測試也是常用的安全測試方法����。是使用自動化工具或者人工的方法模擬黑客的輸入,對應用系統(tǒng)進行攻擊性測試����,從中找出運行時刻所存在的安全漏洞�。
這種測試的特點就是真實有效����,一般找出來的問題都是正確的,也是較為嚴重的����。但滲透測試一個致命的缺點是模擬的測試數(shù)據(jù)只能到達有限的測試點��,覆蓋率很低��。
程序數(shù)據(jù)掃描
一個有高安全性需求的軟件���,在運行過程中數(shù)據(jù)是不能遭到破壞的,否則就會導致緩沖區(qū)溢出類型的攻擊。數(shù)據(jù)掃描的手段通常是進行內(nèi)存測試,內(nèi)存測試可以發(fā)現(xiàn)許多諸如緩沖區(qū)溢出之類的漏洞���,而這類漏洞使用除此之外的測試手段都難以發(fā)現(xiàn)��。
例如,對軟件運行時的內(nèi)存信息進行掃描����,看是否存在一些導致隱患的信息,當然這需要專門的工具來進行驗證�,手工做是比較困難的。
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的�,如涉及知識產(chǎn)權(quán)問題,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054)���,我們將立即處理�,馬上刪除���。
sales@spasvo.com
