2022年CISP教材知識點(diǎn)整理：軟件安全測試

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點(diǎn)梳理，詳情如下：

10.4.2 軟件安全測試

1.軟件安全測試基本概念

2.軟件安全測試方法

模糊測試和滲透測試是常用的軟件安全性測試方法

（1）模糊測試

模糊測試，也稱Fuzz測試

一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法

模糊測試的主要步驟

生成大量的畸形數(shù)據(jù)作為測試用例

將這些測試用例作為輸入應(yīng)用于被測對象

檢測和記錄由輸入導(dǎo)致的任何崩潰或異?，F(xiàn)象

查看測試日志，深入分析產(chǎn)生崩潰或異常的原因

影響模糊測試效果的一些關(guān)鍵因素

測試點(diǎn)

樣本選擇

數(shù)據(jù)關(guān)聯(lián)性

自動化框架

異常監(jiān)控與異?；謴?fù)

分析評估

（2）滲透測試

滲透測試是一種模擬攻擊者進(jìn)行攻擊的測試方法，從攻擊的角度來測試軟件系統(tǒng)，并評估系統(tǒng)安全性的一種測試方法

滲透測試會使用多種網(wǎng)絡(luò)安全工具，自動化的滲透測試平臺也逐漸出現(xiàn)，比較著名的包括IMPACT、CANVAS和Metasploit

開展?jié)B透測試必須注意以下兩點(diǎn)

它是非破壞性測試

需要進(jìn)行測試風(fēng)險控制

（3）靜態(tài)代碼安全測試

3.安全測試思路

做好軟件安全性測試的必要條件

（1）充分了解軟件安全漏洞

（2）評估軟件安全風(fēng)險

安全性缺陷數(shù)據(jù)評估

采用漏洞植入法來進(jìn)行評估

（3）擁有高效的軟件安全測試技術(shù)和工具

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除