软件测试总结(课堂PPT)_第1页
软件测试总结(课堂PPT)_第2页
软件测试总结(课堂PPT)_第3页
软件测试总结(课堂PPT)_第4页
软件测试总结(课堂PPT)_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、十三章-软件安全性测试为什么有人想攻击计算机t(挑战成名)通常在一个社区里面有某些高手进入了某些号称安全性很高的系统里面,对于那个人的威望的树立是很有帮助的。而且这也是意见很有挑战性的事情。t(好奇)人就是这样子,你不让我看我非要看!t(使用和借用)利用电脑传播病毒,或者干其他坏事。t(破坏)丑化,破坏,拒绝服务t(盗窃)偷取一些重要的资料,例如商业资料,客户资料常见的攻击类型t1 SOL注入所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。t2 修改提交数据抓包已经提交数据并修改进行重发,导致提交数据者利益受损t3 缓

2、冲区溢出缓冲区溢出已成为软件安全的头号公敌,许多实际中的安全问题都与它有关。造成缓冲区溢出问题通常有以下两种原因。设计空间的转换规则的校验问题。即缺乏对可测数据的校验,导致非法数据没有在外部输入层被检查出来并丢弃。非法数据进入接口层和实现层后,由于它超出了接口层和实现层的对应测试空间或设计空 间的范围,从而引起溢出。局部测试空间和设计空间不足。当合法数据进入后,由于程序实现层内对应的测试空间或设计空间不足,导致程序处理时出现溢出。威胁模型分析过程t1.建立威胁模型分析小组。而且团队里面需要有一名资深的安全专家。在这个阶段主要集中在识别威胁,不是去解决威胁。t2.确认价值 。就是那些对于黑客来说

3、是有利用价值的部分。t3.建立体系结构,识别出不同的技术,认证授权方式之间的信任边界。t4.分解程序组件,看那些组件容易被攻击,或者很有可能受到攻击t5.确认威胁。t6.记录威胁。t7.对威胁进行评级 DREAD对威胁进行评级 DREADtA.Damage Potential (潜在损害)。威胁的潜在破坏,例如对硬件,财务上的破坏tB.Reproducibility (可反复性)。这个威胁是每次都能出现呢,还是只是尝试1w次才出现一次tC.Exploitability (可利用性)。可以危险是不是很容易就被利用了,还是需要高深的编程技巧tD.Affected Users (受影响用户)如果黑客入侵成功,将会有多少用户受到威胁。tE.Discoverability (可发现性)这个威胁是不是很容易被发现,还是只有内部人员泄露才会被发现使用安全字符串函数的好处t1每个函数将收目标缓冲的长度作为输入,避免缓冲区溢出t2函数空字符终止所有输出字符串t3所有函数返回一个NTSTATUS值,该值只有一个可能成功的代码 t4每个都提供版本计算机取证t计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。因此,

人人文库> 全部分类> 教育资料 > 备课教案

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论