2022年CISP教材知識(shí)點(diǎn)整理：軟件安全測(cè)試

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

10.4.2 軟件安全測(cè)試

1.軟件安全測(cè)試基本概念

2.軟件安全測(cè)試方法

模糊測(cè)試和滲透測(cè)試是常用的軟件安全性測(cè)試方法

（1）模糊測(cè)試

模糊測(cè)試，也稱Fuzz測(cè)試

一種通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障的方法

模糊測(cè)試的主要步驟

生成大量的畸形數(shù)據(jù)作為測(cè)試用例

將這些測(cè)試用例作為輸入應(yīng)用于被測(cè)對(duì)象

檢測(cè)和記錄由輸入導(dǎo)致的任何崩潰或異?，F(xiàn)象

查看測(cè)試日志，深入分析產(chǎn)生崩潰或異常的原因

影響模糊測(cè)試效果的一些關(guān)鍵因素

測(cè)試點(diǎn)

樣本選擇

數(shù)據(jù)關(guān)聯(lián)性

自動(dòng)化框架

異常監(jiān)控與異?；謴?fù)

分析評(píng)估

（2）滲透測(cè)試

滲透測(cè)試是一種模擬攻擊者進(jìn)行攻擊的測(cè)試方法，從攻擊的角度來(lái)測(cè)試軟件系統(tǒng)，并評(píng)估系統(tǒng)安全性的一種測(cè)試方法

滲透測(cè)試會(huì)使用多種網(wǎng)絡(luò)安全工具，自動(dòng)化的滲透測(cè)試平臺(tái)也逐漸出現(xiàn)，比較著名的包括IMPACT、CANVAS和Metasploit

開(kāi)展?jié)B透測(cè)試必須注意以下兩點(diǎn)

它是非破壞性測(cè)試

需要進(jìn)行測(cè)試風(fēng)險(xiǎn)控制

（3）靜態(tài)代碼安全測(cè)試

3.安全測(cè)試思路

做好軟件安全性測(cè)試的必要條件

（1）充分了解軟件安全漏洞

（2）評(píng)估軟件安全風(fēng)險(xiǎn)

安全性缺陷數(shù)據(jù)評(píng)估

采用漏洞植入法來(lái)進(jìn)行評(píng)估

（3）擁有高效的軟件安全測(cè)試技術(shù)和工具

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除