安全测试--服务流程

测试方案

白盒测试

对软件源代码进行扫描，检测软件源代码中存在的漏洞；提供全面的数据流分析，定位存在漏洞代码段及其路径，找出外部输入能影响到的易损函数。例如：SQL Injections（SQL 注入），Corss-Site Scriptiing等。

黑盒测试

对正在运行的系统进行动态的渗透性测试，检测系统的特定功能点是否存在漏洞，并收集系统泄露的各种信息。例如：HTTP Response Splitting（HTTP响应截断）、System Information Leak（系统信息泄露）、Privacy Violation（权限违反）等漏洞。

安全工具扫描

使用成熟的安全漏洞检测工具对系统进行网络安全，木马等安全隐患扫描。

测试内容

Windows/Web程序安全测试

系统权限分配合理性
系统出现用户冲突
系统因权限的改变造成混乱
系统中用户个人信息安全性

网络安全测试

网络漏洞检测
非授权漏洞检测
木马检测

数据安全测试

数据完整性，敏感数据保密性
数据可管理性
数据可备份及恢复能力

测试工具

端口扫描工具
网络/操作系统弱点扫描
应用程序/数据库弱点扫描工具
密码破解工具
文件查找工具
网络分析工具
注入工具分析工具

所需提供的材料

待测试系统相关文档，包括需求、目标、功能列表等；
测试大纲，包括需要测试的功能或特性、基本测试项目和有关判定原则等方面的内容；
用户文档，包括安装说明、使用指南和所有功能的具体操作说明等方面的内容；