安全测试
文章目录
- 安全测试
- 安全测试类型
- 安全性测试工具分类
安全测试
安全测试一般围绕被保护的资产,通过代码和程序的分析来确定威胁或漏洞的严重程度,以及被利用的可能性和影响,来评估特定威胁或漏洞对企业造成负面影响的风险。除了综合的安全性风险评估之外,安全性测试一般有几种类型:
安全测试类型
1.漏洞扫描:由工具自动对代码进行静态分析,以识别软件组件中是否存在已知的漏洞。
2.渗透测试:在安全条件下模拟黑客对应用程序/软件/系统或网络进行网络攻击的过程。渗透测试可以发现未知漏洞,如zero-day威胁和商业逻辑漏洞,目前人们应用越来越多的渗透测试工具来完成测试任务。
3.应用程序的安全测试:针对web/Android/IOS移动APP等特定的应用进行测试,包括收集这类应用程序的相关信息,发现系统漏洞或缺陷。
4.API安全测试:识别API和网络服务中的漏洞(如API注入/XML注入等)。API特别容易受到中间人攻击等威胁,如窃听API通信并窃取数据或凭证。
5.配置扫描:一般根据研究机构或合规标准制定的最佳实践列表来检查系统,识别软件/网络和其他计算系统的错误配置的过程。
6.安全审计:根据定义的法规和合规标准/安全要求来审查代码或架构,分析安全漏洞,评估硬件配置/操作系统和组织实践的安全状况。
安全性测试工具分类
1.动态应用安全测试:(DAST)
一般指在测试或运行阶段,使用黑盒方法以发现漏洞的过程,如模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应或动态运行状态,从而确定该应用是否易受攻击,如监测诸如内存损坏/不安全的服务器配置/跨站脚本攻击/用户权限问题/恶意SQL注入和其他关键漏洞等缺陷
如开源的Zed Attack Proxy(ZAP)
优势是可进行逻辑漏洞检测;不分语言和框架,漏洞好复现;
劣势则为漏洞检出率和第三方框架检测效果较差,漏洞详细度较低,使用时入侵性较高,风险程度高。
2.静态应用安全测试:(SAST)
主要通过分析应用的源代码或其编译版本的语法/结构/过程/接口等来发现程序代码存在的安全漏洞
如Klocwork/ Helix QAC/ HCL AppScan等,以及国内的腾讯xcheck/WuKong等
优势是漏洞 检出率和覆盖率高;使用时侵入性小。风险程度低;
劣势是漏洞检测误报高,耗时久
3.交互式应用安全测试(IAST)
通过代理/VPN或者在服务端部署Agent程序,收集/监控应用程序运行时函数执行/数据传输/并与扫描端进行实时交互,高效/准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件/行数/函数及参数,如CodeDx,Checkmark CxlAST等。
IAST相当于DAST和SAST结合的一种互相关联运营时的安全检测技术。
优势是漏洞检测误报率低,检测速度快,漏洞详细度高;
劣势是漏洞检测覆盖度较难以保证,支持的语言和框架被严格限制。
4.软件成分分析(SCA)
通过分析软件包含的一些信息和特征来实现对该软件的识别/管理/追踪的安全检测技术,如Synopsys Black Duck、RedRocket-SCA等
SCA理论上看是一种通用的分析方法,可对任何编程语言对象进行分析,关注的对象是从文件内容,以及文件与文件之间的关联关系以及彼此组合成目标的过程细节,从而获得应用程序的画像-组件名称+版本号,进而关联出存在的已知漏洞清单。
