例如:下列不是安全測試方法()
壹、安全功能驗證
b、安全漏洞掃描
c、大數據量測試
d、數據攔截
郝陽詳細講解:安全測試方法包括安全功能驗證、安全漏洞掃描、模擬攻擊實驗、數據攔截。詳情如下:
1),安全功能驗證:測試和驗證軟件需求中確定的安全模塊的功能。比如權限管理模塊、數據保密模塊、傳輸加密模塊、數據備份和恢復模塊壹般都會有相應的安全功能設置。安全功能驗證的方法類似於壹般的程序測試,主要有三種:黑盒測試、白盒測試和灰盒測試。
2)安全漏洞掃描:使用漏洞掃描軟件對信息系統和應用軟件中的相關漏洞進行掃描,發現漏洞後再采取有效的預防補救措施,或者采取防護措施,防止不法分子利用已知漏洞進行攻擊。常見的漏洞有:
拒絕服務(Dos)漏洞:故意攻擊網絡協議實現中的缺陷或直接野蠻耗盡被攻擊對象的資源,目的是阻止目標計算機或網絡提供正常的服務或資源訪問,使目標系統的服務系統停止響應甚至崩潰,不包括入侵目標服務器或目標網絡設備。
本地用戶擴權漏洞:本地普通用戶利用程序漏洞非法擁有其他用戶甚至超級用戶的權限,從而導致系統被破壞。
遠程用戶擴權漏洞:遠程普通用戶利用系統服務中的漏洞,未經授權進入系統訪問,從而進行不可預知的破壞。
3)模擬攻擊實驗:偽裝成類似黑客非法入侵的攻擊者,在開發環境或試用環境中,利用已有的系統漏洞和常用攻擊手段,攻擊提交評估的系統,尋找安全問題。四種主要的攻擊技術是:
拒絕服務(Dos)攻擊:試圖通過使服務器崩潰來阻止服務器提供服務。主要手段包括:死亡ping、淚滴、UDP flood、SYN flood、Land攻擊、Smurf攻擊、Fraggle攻擊、郵件炸彈、異常消息攻擊。
漏洞特洛伊攻擊:主要由系統用戶粗心大意、明知系統漏洞卻不及時打補丁、或粗心放置木馬造成的非法入侵,主要包括密碼猜測、特洛伊木馬和緩沖區溢出;
信息收集技術:不會對目標服務器本身造成傷害,收集大量系統信息,為不法人員非法入侵提供了便利。使用的主要技術有掃描技術、建築間諜和信息服務。
偽裝欺騙攻擊:用於攻擊目標配置不正確的消息,主要包括DNS緩存汙染、偽造郵件、ARP欺騙和IP欺騙。
4)數據攔截:又稱“網絡攔截”,用於獲取網絡上傳輸的信息,但信息並不是發送給自己的。網絡攔截技術可以有效地管理網絡,針對網絡問題,檢查網絡安全威脅。如果攔截技術工具被非法用戶使用,也可能成為入侵者的入侵手段。
本題中C選項大數據測試是壹種負荷壓力測試方法,不屬於安全測試範疇,故本題正確答案為C。
鞏固練習題
(1)以下不屬於安全保護策略(?)
A.入侵檢測
b、隔離保護
c、安全測試
d、漏洞掃描
(2)安全日誌是軟件產品的被動預防措施,是系統的重要安全功能,因此安全日誌測試是軟件系統安全測試的重要內容。以下不是安全日誌測試的基本測試內容的是()。
a、測試安全日誌的完整性,測試安全日誌是否記錄了包括用戶登錄名、時間、地址、數據操作行為、退出時間在內的所有內容。
b、測試安全日誌的正確性,測試安全日誌中記錄的用戶登錄、數據操作等日誌信息是否正確。
c、測試日誌信息的機密性:測試安全日誌中的日誌信息是否加密存儲,加密強度是否足夠。
D.對於大型應用軟件系統,測試系統是否提供安全日誌的統計分析能力。
(3)用戶密碼測試中應考慮的測試點包括(?)。
①密碼老化②密碼長度③密碼復雜度④密碼鎖定
a、①③④
乙、②③④
c、①②③
d、①②③④
練習題參考答案
(1)解析:本題考查信息安全和安全測試的基礎知識。
信息安全保護策略包括入侵檢測、隔離保護、安全日誌和漏洞掃描。詳情如下:
1),入侵檢測:是壹種主動的網格保護措施,主動從系統或各種網絡資源中獲取信息,分析可能的網絡入侵或攻擊。通常,IDS還應該對入侵做出緊急響應。
2)隔離保護:隔離系統的安全部分和不安全部分的措施。主要技術手段是防火墻和隔離網關,其中防火墻主要用於內網和外網之間的邏輯隔離;隔離網關主要用於實現內部網絡和外部網絡之間的物理隔離。
3)安全日誌:用於記錄非法用戶的登錄名、操作時間等內容信息。才能發現問題,提出解決方案。安全日誌只記錄相關信息,不主動響應非法行為,屬於被動保護策略。
4)漏洞掃描:對軟件系統和網絡系統進行安全相關的檢測,發現可能被黑客利用的安全風險和漏洞。
安全測試是在IT軟件產品的生命周期內,尤其是從產品開發基本完成到發布階段,對產品進行測試以驗證其符合安全需求定義和產品質量標準的過程,不屬於安全保護策略的範疇。所以,這個問題的正確答案是c。
?
(2)解析:本題目考查安全測試中安全日誌測試的基礎知識。
安全日誌用於記錄非法用戶的登錄名、操作時間等內容信息。才能發現問題,提出解決方案。安全日誌只記錄相關信息,不主動響應非法行為,屬於被動保護策略。
每次打開或關閉機器、程序運行和系統報告錯誤時,系統安全日誌將被記錄並保存在日誌文件中。但是日誌本身不需要加密存儲,所以這個問題的正確答案是c。
?
(3)解析:本題考查安全測試中用戶密碼測試的基礎知識。
Web系統容易受到攻擊,壹般都是認證用戶名/密碼(password)機制。密碼認證機制測試應包含的基本測試點如下:
1),用戶名測試的主要測試點是測試用戶名的唯壹性,即測試同時存在的用戶名不能不分大小寫重名。
2)、用戶密碼測試應主要測試用戶密碼是否符合當前流行的控制模式。主要測試點應包括最大/最小密碼老化、密碼歷史、最小密碼長度、密碼復雜性、加密選項和密碼鎖定。所以這個問題1234屬於用戶密碼安全保護相關的內容。
所以,這個問題的正確答案是:d。
寫於2020年6月10,19。