現(xiàn)如今互聯(lián)網(wǎng)高度發(fā)達(dá)，智能化的軟件成為商業(yè)決策、推廣等不可缺少的利器，很多軟件涉及了客戶商業(yè)上重要的信息資料，因此企業(yè)都很關(guān)心軟件的安全性。往往一個(gè)細(xì)小的安全漏洞，對(duì)客戶產(chǎn)生的影響都是巨大的。所以企業(yè)都想著盡可能的保證軟件的安全性，確保軟件在安全性方面能滿足客戶期望，在軟件測(cè)試行業(yè)，安全測(cè)試的重要性是不言而喻的。
一、什么是軟件安全性測(cè)試 ?
安全性測(cè)試是指有關(guān)驗(yàn)證應(yīng)用程序的安全等級(jí)和識(shí)別潛在安全性缺陷的過(guò)程。應(yīng)用程序級(jí)安全測(cè)試的主要目的是查找軟件自身程序設(shè)計(jì)中存在的安全隱患，并檢查應(yīng)用程序?qū)Ψ欠ㄇ秩氲姆婪赌芰?，根?jù)安全指標(biāo)不同測(cè)試策略也不同。

二、軟件安全測(cè)試的測(cè)試手段

1、代碼安全測(cè)試：

主要通過(guò)對(duì)源代碼進(jìn)行安全掃描，根據(jù)程序中數(shù)據(jù)流、控制流、語(yǔ)義等信息與其特有軟件安全規(guī)則庫(kù)進(jìn)行匹對(duì)，從中找出代碼中潛在的安全漏洞。靜態(tài)的源代碼安全測(cè)試是非常有用的方法，它可以在編碼階段找出所有可能存在安全風(fēng)險(xiǎn)的代碼，這樣開(kāi)發(fā)人員可以在早期解決潛在的安全問(wèn)題。而正因?yàn)槿绱?，靜態(tài)代碼測(cè)試比較適用于早期的代碼開(kāi)發(fā)階段，而不是測(cè)試階段。

2、滲透測(cè)試：

是使用自動(dòng)化工具或者人工的方法模擬黑客的輸入，對(duì)應(yīng)用系統(tǒng)進(jìn)行攻擊性測(cè)試，從中找出運(yùn)行時(shí)刻所存在的安全漏洞。這種測(cè)試的特點(diǎn)是真實(shí)有效，一般找出來(lái)的問(wèn)題都是正確的，也是較為嚴(yán)重的。但滲透測(cè)試一個(gè)致命的缺點(diǎn)是模擬的測(cè)試數(shù)據(jù)只能到達(dá)有限的測(cè)試點(diǎn)，覆蓋率很低。

3、程序數(shù)據(jù)掃描：

一個(gè)有高安全性需求的軟件，在運(yùn)行過(guò)程中數(shù)據(jù)是不能遭到破壞的，否則會(huì)導(dǎo)致緩沖區(qū)溢出類型的攻擊。數(shù)據(jù)掃描的手段通常是進(jìn)行內(nèi)存測(cè)試，內(nèi)存測(cè)試可以發(fā)現(xiàn)許多諸如緩沖區(qū)溢出之類的漏洞，而這類漏洞使用除此之外的測(cè)試手段都難以發(fā)現(xiàn)。例如，對(duì)軟件運(yùn)行時(shí)的內(nèi)存信息進(jìn)行掃描，看是否存在一些導(dǎo)致隱患的信息，當(dāng)然這需要專門的工具來(lái)進(jìn)行驗(yàn)證。
4、功能驗(yàn)證
功能驗(yàn)證是采用軟件測(cè)試當(dāng)中的黑盒測(cè)試方法，對(duì)涉及安全的軟件功能，如：用戶管理模塊，權(quán)限管理模塊，加密系統(tǒng)，認(rèn)證系統(tǒng)等進(jìn)行測(cè)試，主要驗(yàn)證上述功能是否有效，具體方法可使用黑盒測(cè)試方法。
5、偵聽(tīng)技術(shù)
偵聽(tīng)技術(shù)實(shí)際上是在數(shù)據(jù)通信或數(shù)據(jù)交互過(guò)程，對(duì)數(shù)據(jù)進(jìn)行截取分析的過(guò)程。目前最為流行的是網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)，通常我們稱為 Capture，黑客可以利用該項(xiàng)技術(shù)實(shí)現(xiàn)數(shù)據(jù)的盜用，而測(cè)試人員同樣可以利用該項(xiàng)技術(shù)實(shí)現(xiàn)安全測(cè)試。

審核編輯黃宇