软件评测师写作专栏之安全测试的基础知识26
例题:以下不属于安全测试方法的是()
A、安全功能验证
B、安全漏洞扫描
C、大数据量测试
D、数据侦听
【昊洋详解】: 安全测试方法包括安全功能验证、安全漏洞扫描、模拟攻击实验和数据侦听。具体内容如下所示:
1 )、安全功能验证: 对软件需求中确定的有关安全模块的功能进行测试验证。例如权限管理模块,数据机密模块,传输加密模块,数据备份和恢复等模块一般都会有对应安全功能设置。安全功能验证的方法和一般程序测试类似,主要有以下三种:黑盒测试、白盒测试和灰盒测试。
2 )、安全漏洞扫描: 用漏洞扫描软件对信息系统和应用软件有针对性地对有关漏洞进行扫描,然后发现漏洞后做好有效防范后补救措施,也可以采取保护措施防止非法者利用已知漏洞进行攻击。常见的漏洞有:
拒绝服务(Dos)漏洞: 故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。
本地用户扩权漏洞: 本地普通级别用户利用程序漏洞非法拥有其他用户甚至超级用户的权限,从而使得系统遭到破坏。
远程用户扩权漏洞: 远程普通用户利用系统服务中的漏洞,未经授权就进入了系统访问,从而进行不可预知的破坏行为。
3 )、模拟攻击实验: 将自己假装成类似于黑客的非法入侵的攻击者,利用目前存在的系统漏洞和常用的攻击手段,对提交评测的系统进行开发环境或试用环境里的攻击,以发现安全问题。主要四种攻击技术为:
服务拒绝(Dos)型攻击: 企图通过使服务器崩溃的方式来阻止其提供服务,主要手段包括:死亡之ping,泪滴,UDP洪水,SYN洪水,Land攻击,Smurf攻击,Fraggle攻击,电子邮件炸弹和畸形消息攻击等。
漏洞木马型攻击: 主要是由于系统使用者粗心大意或者已知系统漏洞但未及时打补丁,又或者不小心安放了木马等原因导致的非法入侵行为,主要包括:口令猜测,特洛伊木马和缓冲区溢出3种方式;
信息收集类技术: 本身不会对目标服务器造成危害,收集大量有关系统的信息,为非法者非法入侵提供了便利,主要使用的技术有:扫描技术、体系结构刺探和利用信息服务3种。
伪装欺骗型攻击: 用于攻击目标配置不正确的消息,主要包括DNS高速缓存污染,伪造电子邮件,ARP欺骗和IP欺骗四种方式。
4 )、数据侦听: 也称为“网络监听”,用于获取在网络上传输的信息,但这些信息不是发给自己的。网络侦听技术可以有效地管理网络,针对网络问题和检查网络的安全威胁。如果侦听技术工具被非法用户利用,也可能成为入侵者的入侵手段。
本题中的C选项大数据量测试是一种负载压力测试方法,不属于安全测试的范畴,故该题目的正确答案为C。
巩固练习题
(1)以下不属于安全防护策略的是( )
A、入侵检测
B、隔离防护
C、安全测试
D、漏洞扫描
(2)安全日志是软件产品的一种被动防范措施,是系统重要的安全功能,因此安全日志测试是软件系统安全性测试的重要内容,下列不属于安全日志测试基本测试内容的是()
A、对安全日志的完整性进行测试,测试安全日志中是否记录包括用户登录名称、时间、地址、数据操作行为以及退出时间等全部内容
B、对安全日志的正确性进行测试,测试安全日志中记录的用户登录、数据操作等日志信息是否正确
C、对日志信息的保密性进行测试:测试安全日志中的日志信息是否加密存储,加密强度是否充分
D、对于大型应用软件系统:测试系统是否提供安全日志的统计分析能力
(3)用户口令测试应考虑的测试点包括( )。
①口令时效 ②口令长度③口令复杂度 ④口令锁定
A、①③④
B、②③④
C、①②③
D、①②③④
练习题参考答案
(1)解析: 本题考查信息安全和安全测试的基础知识。
信息安全防护策略 包括入侵检测、隔离防护、安全日志和漏洞扫描四种。具体内容如下所示:
1 )、入侵检测: 是一种主动的网格防护措施,从系统内部或各种网络资源中主动采取信息,从中分析可能的网络入侵或攻击,通常IDS还应对入侵行为做出紧急响应。
2 )、隔离防护: 是将系统中的安全部分和非安全部分进行隔离的措施,主要技术手段有防火墙和隔离网闸等,其中防火墙主要用于内网和外网的逻辑隔离;而隔离网闸主要用于实现内网和外网的物理隔离。
3 )、安全日志: 用于记录非法用户的登录名称、操作时间等内容信息。以便发现问题并提出解决措施。安全日志仅记录相关信息,不对非法行为做出主动反应,属于被动防护策略。
4 )、漏洞扫描: 对软件系统及网络系统进行与安全相关的检测,找出安全隐患和可能被黑客利用的漏洞。
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,不属于安全防护策略的范畴。故该题目的正确答案为C。
(2)解析: 本题考查安全测试中安全日志测试的基础知识。
安全日志 用于记录非法用户的登录名称、操作时间等内容信息。以便发现问题并提出解决措施。安全日志仅记录相关信息,不对非法行为做出主动反应,属于被动防护策略。
系统安全日志在每次开关机、运行程序、系统报错时,这些信息都会被记录下来,保存在日志文件中。但是日志本身是不需要加密存储的,故该题目的正确答案为C。
(3)解析: 本题考查安全测试中用户口令测试的基础知识。
web系统容易受到攻击,一般会对用户名/口令(密码)机制进行认证。对口令认证机制测试应包含的基本测试点如下所示:
1)、对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
2)、对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。因此本题①②③④都属于用户口令安全保护相关的内容。
故该题目的正确答案为:D。
写于2020年10月19日
软考是什么啊?它主要考什么啊?
计算机软件水平考试考试分5个专业类别:计算机软件、计算机网络、计算机应用技术、信息系统、信息服务。软考是计算机软件水平考试,是原中国计算机软件专业技术资格和水平考试的完善与发展。是对从事或准备从事计算机应用技术、网络、信息系统和信息服务等专业技术工作的人员水平和能力的测试。软考初级和中级考应用...
申论怎么复习?申论的写作能力怎么提高啊?
于申论的复习 关于申论,我不能谈太多,因为我的申论并不好。但是考过了多多少少还是有些经验的。个人认为申论的必备资料:万能八条、理论面对面、半月谈、十七大报告、两会的相关内容。当然如果还有空可以看一下人民日报 第一阶段:阅读辅导书和万能八条。阅读辅导书的主要作用是导你入门。所以申论的...
尼康D80为什么拍出来的照片都很艳呢?感觉很油腻!
进入菜单设置,在拍摄菜单中(相机标志的菜单) 的[优化影像]菜单中选择柔和、人像模式、如果还不满意就在自定中将色彩饱和度调低,或者调整色调,多试拍调到自己满意的色彩风格。一定使用RAW格式拍摄,色彩还原会好很多。
自由职业有哪些方向?
9. 顾问咨询师:为公司或个人提供专业建议,例如财务、管理、营销等方面的咨询服务。10. 美食家或美食博主:通过评测美食、制作食谱或为美食杂志写稿,赚取广告收入和提供餐厅顾问服务等。11. 独立电子商务商家:通过设置在线商店并销售自己的产品,以及利用在线平台如Amazon或Etsy卖货来赚钱。12. 独立作家...
系统规划与管理师有什么用
系统规划与管理师证书有多种用途:首先,它可以用来评高级职称。系统规划与管理师证书是国家认可的国家级证书,在国企或是事业单位,能评高级职称。此外,在其他的一些企业也是可以评高级职称的,但是要看企业自己的规定。评职称不是一件容易的事,也不是获得证书就能一定能成功,但软考证书会是评职称路上...
计算机软考中级科目里,哪个实用性比较高,哪个比较好考?
因为我觉得真的要学网络的话,不如去报CCNA那个系列的,如果只是混个证书呢,对我LZ专业性不强来说,网络还是有些难懂的,毕竟比较抽象,那些什么包啊,帧啊的,看不到也摸不着,什么层啊,路啊的,也比较难以理解,至于软设,还是由于lz专业知识不强,pass。信息系统监理师呢,我没有考过,但是...
电子报的新媒体
1984年正式发行《1983年电子报合订本》,这是电子报社在国内首开先河,发行缩印增补式合订本。1985年《实用电子文摘》 创刊并发行第1期,这是国内第一份文摘类电子技术杂志。1985年开辟了“不可靠信息专栏”,专对虚假广告进行揭批,此专栏受到社会舆论广泛好评,《人民日报》、《...
考上清北的学生是怎样提升作文的
提高作文 清北毕业名师直播课_低至9元 广告 3\/6 基础太差,可以从模仿开始。高考作文中,多用记叙文、议论文进行写作,而这些都是有固定的结构框架的,只要懂得这些框架,可以从模仿优质的作文开始,开头、正文、结尾,都动心思去总结。怎样才能提升语文?免费学情评测,辅导不花冤枉钱 广告 4\/6 收集...
考研英语难度很高,应该要如何学习呢?
尽管考生可能还没有选定自己想要报考的院校和专业,但是英语学科的复习,一旦决定考研,就要开始了。2020考研英语准备阶段的基础复习,该准备些什么呢?文都教育小编这里给各位考生做一个详细的介绍。客观地对自己的英语进行评测 考研英语是所有备战考研的考生都要准备的。因此,建议各位考生先对自己的英语综合...
刚考过雅思 听7说5读7写5。。写作短时间按突破6怎么办
我接触雅思已经有很长一段时间了(曾经教过雅思写作),以我的体会雅思写作能力是一种综合英语能力,它不仅考作者所掌握的语言知识,使用外语的熟练程度,同时还考个人的思维能力和知识面,因此要雅思写作对于大多数人而言,都是件头痛的事情。但这并非说雅思写作高不可攀,一样有捷径可循.1. 增大阅读...
荡静脑血: 现在软件测试工作越来越收到企业的重视,许多人员也投入到软件测试的行列中来,软件测试工程师的队伍越来越壮大.但是如何成为一名优秀的软件测试工程师呢?这是大家比较关注的一个问题,尤其是初入这个行当的莱鸟更想了解这个问题...
杜集区17355179886: 软件测试工程师应具备哪些基础知识? - ?
荡静脑血: 是不是所有优秀的开发人员都能够成为优秀的测试人员?所有的人都知道应该如何进行测试,但是却未必知道要成为一名优秀的测试人员,真正需要哪些素质.优秀的系统验证测试人员应该具备哪些素质? 在 8 年多的软件开发工作中,我曾从...
杜集区17355179886: 软件测试需要学习些什么技能 - ?
荡静脑血: 1. 基本的软件测试知识:具体可参见软考所需的《软件评测师教材》 2. 基本的代码能力,能够对软件代码进行测试 3. 软件测试还是分很多种,功能测试、性能测试、单元测试等等,看你需要什么就了解哪方面知识
杜集区17355179886: 关于软件评测师 - ?
荡静脑血: 软件评测师是要能在掌握软件工程与软件测试知识的基础上,运用软件测试管理方法、软件测试策略、软件测试技术,独立承担软件测试项目;具有工程师的实际工作能力.软件评测师也是IT行业内比较短缺的一个职位,通过培训机构是能够增加一定的通过率的,我以前参加过希赛软件评测师培训班,感觉还是很不错的,主要就是要跟着老师的计划一步一步的学,不能偷懒,一定要坚持.有疑问了,要即时问老师.你还有什么疑问你去希赛咨询下吧,会有满意答复的.
杜集区17355179886: 软件评测师是干什么的 - ?
荡静脑血: 就是通过各种应用环境和平台参数对软件进行安全性、实用性、可靠性、体现性、可操作性以及对服务系统的兼容性等方面进行评估和测试,以便更好地服务客户,满足客户需求.
杜集区17355179886: 软件评测师考试除了要知道C语言还需要知道什么知识?请通过的高手们指教?
荡静脑血: 软件评测师考试要求:(1)熟悉计算机基础知识;(2)熟悉操作系统、数据库、中间件、程序设计语言基础知识;(3)熟悉计算机网络基础知识;(4)熟悉软件工程知识,理解软件开发方法及过程;(5)熟悉软件质量及软件质量管理基础知识;(6)熟悉软件测试标准;(7)掌握软件测试技术及方法;(8)掌握软件测试项目管理知识;(9)掌握C语言以及C++或Java语言程序设计技术;(10)了解信息化及信息安全基础知识;(11)熟悉知识产权相关法律、法规; (12)正确阅读并理解相关领域的英文资料. 建议你参加希赛软件评测师培训,考试难点疑点都有老师为你解答,相信对你会有很大帮助.
杜集区17355179886: 某软件公司项目组的程序员在程序编写完成后均按公司规定撰写文档...?
荡静脑血: 测评师要找个好媒体去工作可能有前途,不过很多就一个小编甲乙丙丁什么的 我不理解你说的软件设计师是什么意思,就当和程序员一个类型的好了,主要工作形容起来就是敲代码,脑力工作者.对程序员来说,青春饭限于新手和普通程序员,因为年轻人学习接收能力更快,中年没有技术突破活积累一般也就止步于此,容易给后辈超越了. 对与掌握核心技术或者有一技之长的高级程序员不存在青春饭一说,掌握的技能足以带领一个团队进行工作,这种状态下多年的经验积累反而是一种优势.非要说那个累的话,程序员都很累,工作大多枯燥,加班多.
杜集区17355179886: 大家都是怎么做应用安全测试的呢? - ?
荡静脑血: 你用MicroFocus的Fortify来做应用安全测试,这款软件扫描的比较全面,可以准确地测试出应用中存在的安全隐患.
杜集区17355179886: 在学校里,校医属于专业技术人员还是工勤人员? - ?
荡静脑血: 在学校里,校医属于工勤人员. 学校教育是由专职人员和专门机构承担的有目的、有系统、有组织的,有计划的以影响受教育学校教育者的身心发展为直接目标并最终使受教育者的身心发展达到预定目的的社会活动. 教育来源 最初的教育活动与人类的生产,社会生活融为一体,人们主要是通过言传身教,传授知识,技能.随着生产力水平的提高,物质财富逐渐增加,有些人就可以从体力劳动中脱离出来,专门从事脑力活动;同时语言文字也在丰富和发展. 这样,独立的教育机构—学校便逐渐孕育产生了.学校的出现标志着人类教育活动进入一个自觉的历史时期.
