各位學員大家好,大家在學習軟件測試基礎知識時,安全測試已經成了必不可少的一部分。爲了讓大家快速掌握這方面的知識點,接下來就帶領大家一起來學習一下!
例題:以下不屬於安全測試方法的是()
A、安全功能驗證
B、安全漏洞掃描
C、大數據量測試
D、數據偵聽
【昊洋詳解】:安全測試方法包括安全功能驗證、安全漏洞掃描、模擬攻擊實驗和數據偵聽。具體內容如下所示:
1)、安全功能驗證:對軟件需求中確定的有關安全模塊的功能進行測試驗證。例如權限管理模塊,數據機密模塊,傳輸加密模塊,數據備份和恢復等模塊一般都會有對應安全功能設置。安全功能驗證的方法和一般程序測試類似,主要有以下三種:黑盒測試、白盒測試和灰盒測試。
2)、安全漏洞掃描:用漏洞掃描軟件對信息系統和應用軟件有針對性地對有關漏洞進行掃描,然後發現漏洞後做好有效防範後補救措施,也可以採取保護措施防止非法者利用已知漏洞進行攻擊。常見的漏洞有:
拒絕服務(Dos)漏洞:故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而在此攻擊中並不包括侵入目標服務器或目標網絡設備。
本地用戶擴權漏洞:本地普通級別用戶利用程序漏洞非法擁有其他用戶甚至超級用戶的權限,從而使得系統遭到破壞。
遠程用戶擴權漏洞:遠程普通用戶利用系統服務中的漏洞,未經授權就進入了系統訪問,從而進行不可預知的破壞行爲。
3)、模擬攻擊實驗:將自己假裝成類似於黑客的非法入侵的攻擊者,利用目前存在的系統漏洞和常用的攻擊手段,對提交評測的系統進行開發環境或試用環境裏的攻擊,以發現安全問題。主要四種攻擊技術爲:
服務拒絕(Dos)型攻擊:企圖通過使服務器崩潰的方式來阻止其提供服務,主要手段包括:死亡之ping,淚滴,UDP洪水,SYN洪水,Land攻擊,Smurf攻擊,Fraggle攻擊,電子郵件炸彈和畸形消息攻擊等。
漏洞木馬型攻擊:主要是由於系統使用者粗心大意或者已知系統漏洞但未及時打補丁,又或者不小心安放了木馬等原因導致的非法入侵行爲,主要包括:口令猜測,特洛伊木馬和緩衝區溢出3種方式;
信息收集類技術:本身不會對目標服務器造成危害,收集大量有關係統的信息,爲非法者非法入侵提供了便利,主要使用的技術有:掃描技術、體系結構刺探和利用信息服務3種。
僞裝欺騙型攻擊:用於攻擊目標配置不正確的消息,主要包括DNS高速緩存污染,僞造電子郵件,ARP欺騙和IP欺騙四種方式。
4)、數據偵聽:也稱爲“網絡監聽”,用於獲取在網絡上傳輸的信息,但這些信息不是發給自己的。網絡偵聽技術可以有效地管理網絡,針對網絡問題和檢查網絡的安全威脅。如果偵聽技術工具被非法用戶利用,也可能成爲入侵者的入侵手段。
本題中的C選項大數據量測試是一種負載壓力測試方法,不屬於安全測試的範疇,故該題目的正確答案爲C。
(1)以下不屬於安全防護策略的是( )
A、入侵檢測
B、隔離防護
C、安全測試
D、漏洞掃描
(2)安全日誌是軟件產品的一種被動防範措施,是系統重要的安全功能,因此安全日誌測試是軟件系統安全性測試的重要內容,下列不屬於安全日誌測試基本測試內容的是()
A、對安全日誌的完整性進行測試,測試安全日誌中是否記錄包括用戶登錄名稱、時間、地址、數據操作行爲以及退出時間等全部內容
B、對安全日誌的正確性進行測試,測試安全日誌中記錄的用戶登錄、數據操作等日誌信息是否正確
C、對日誌信息的保密性進行測試:測試安全日誌中的日誌信息是否加密存儲,加密強度是否充分
D、對於大型應用軟件系統:測試系統是否提供安全日誌的統計分析能力
(3)用戶口令測試應考慮的測試點包括( )。
①口令時效 ②口令長度③口令複雜度 ④口令鎖定
A、①③④
B、②③④
C、①②③
D、①②③④
(1)解析:本題考查信息安全和安全測試的基礎知識。
信息安全防護策略包括入侵檢測、隔離防護、安全日誌和漏洞掃描四種。具體內容如下所示:
1)、入侵檢測:是一種主動的網格防護措施,從系統內部或各種網絡資源中主動採取信息,從中分析可能的網絡入侵或攻擊,通常IDS還應對入侵行爲做出緊急響應。
2)、隔離防護:是將系統中的安全部分和非安全部分進行隔離的措施,主要技術手段有防火牆和隔離網閘等,其中防火牆主要用於內網和外網的邏輯隔離;而隔離網閘主要用於實現內網和外網的物理隔離。
3)、安全日誌:用於記錄非法用戶的登錄名稱、操作時間等內容信息。以便發現問題並提出解決措施。安全日誌僅記錄相關信息,不對非法行爲做出主動反應,屬於被動防護策略。
4)、漏洞掃描:對軟件系統及網絡系統進行與安全相關的檢測,找出安全隱患和可能被黑客利用的漏洞。
安全測試是在IT軟件產品的生命週期中,特別是產品開發基本完成到發佈階段,對產品進行檢驗以驗證產品符合安全需求定義和產品質量標準的過程,不屬於安全防護策略的範疇。故該題目的正確答案爲C。
(2)解析:本題考查安全測試中安全日誌測試的基礎知識。
安全日誌用於記錄非法用戶的登錄名稱、操作時間等內容信息。以便發現問題並提出解決措施。安全日誌僅記錄相關信息,不對非法行爲做出主動反應,屬於被動防護策略。
系統安全日誌在每次開關機、運行程序、系統報錯時,這些信息都會被記錄下來,保存在日誌文件中。但是日誌本身是不需要加密存儲的,故該題目的正確答案爲C。
(3)解析:本題考查安全測試中用戶口令測試的基礎知識。
web系統容易受到攻擊,一般會對用戶名/口令(密碼)機制進行認證。對口令認證機制測試應包含的基本測試點如下所示:
1)、對用戶名稱測試的主要測試點在於測試用戶名稱的唯一性,即測試同時存在的用戶名稱在不考慮大小寫的情況下,不能夠同名。
2)、對用戶口令測試應主要測試用戶口令是否滿足當前流行的控制模式。主要測試點應包括最大/最小口令時效、口令歷史、最小口令長度、口令複雜度、加密選項及口令鎖定等。因此本題①②③④都屬於用戶口令安全保護相關的內容。
故該題目的正確答案爲:D。
寫於2020年10月19日
作者:昊洋講師
版權所有,侵權必究