完整的软件安全测试包含什么？

　　进行软件安全测试归根结底就是为了提升软件产品的安全质量，通过测试的过程尽量在软件上线前找到安全问题并修复以降低成本，以及验证系统中的保护机制在遇到实际问题时能否对系统进行保护，使之不受干扰和非法入侵。一个完整的软件安全测试，应当包括以下步骤：

　　1、部署与基础结构：部署有没有包括内部防火墙，网络是否安全，目标环境支持怎样的信任级别，基础结构安全性需求的限制是什么。

　　2、输入验证：如何验证输入,是否验证Web页输入，是否对传递到组件或Web服务的参数进行验证，是否验证从数据库中检索的数据，是否依赖客户端的验证，应用程序是否易受SQL注入攻击，应用程序是否易受XSS攻击，如何处理输入。

　　3、身份验证：是否区分受限访问和公共访问，如何验证数据库身份。

　　4、授权：如何在数据库中授权应用程序，如何向最终用户授权，如何将访问限定于系统级资源。

　　5、配置管理：是否保证配置存储的安全

　　6、敏感数据：是否存储机密信息，如何存储敏感数据，是否在网络中传递敏感数据，是否记录敏感数据。

　　7、会话管理：是否限制会话生存期，如何确保会话存储状态的安全。

　　8、加密：如何确保加密密钥的安全性。

　　9、参数操作：是否在参数过程中传递敏感数据，是否验证所有的输入参数，是否为了安全问题而使用HTTP头数据。

　　10、异常管理：是否使用结构化的异常处理，是否向客户端公开了太多的信息。

　　本文就此结束，感谢IT人士的关注完整的软件安全测试包含什么？，本文合作企业直达：更多推荐。

很赞哦！

python编程网提示：转载请注明来源www.python66.com。
有宝贵意见可添加站长微信(底部)，获取技术资料请到公众号(底部)。同行交流请加群