Web安全测试服务

 专业化测试服务     |      2019-11-08
  安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 。
  服务详情
  软件安全测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程,主要是测试应用程序层的安全,包括两个层面:一是应用程序本身的安全性。一般来说,应用程序的安全问题主要是由软件漏洞导致的,这些漏洞可以是设计上的缺陷或是编程上的问题,甚至是开发人员预留的后门;二是应用程序的数据安全,包括数据存储安全和数据传输安全两个方面。
  一般来说,对安全性要求不高的软件,其安全性测试可以混在单元测试、集成测试、系统测试里一起做。但对安全性有较高需求的软件,则必须做专门的安全性测试,以便在破坏之前预防并识别软件的安全问题。主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力, 根据安全指标不同测试策略也不同。
  服务价值
  安全测试是用来验证集成在软件内的保护机制是否能够在实际中保护系统免受非法的侵入。通俗的说:软件系统的安全当然必须能够经受住正面的攻击——但是它也必须能够经受住侧面的和背后的攻击。
  服务内容
  白盒测试
  对软件源代码进行扫描,检测软件源代码中存在的漏洞;提供全面的数据流分析,定位存在漏洞代码段及其路径,找出外部输入能影响到的易损函数。例如:SQL Injections、Cross-Site Scripting等漏洞。(暂不提供白盒测试服务)
  黑盒测试
  对正在运行的B/S架构的系统进行动态的渗透性测试,检测B/S架构系统的特定功能点是否存在漏洞,并收集系统泄露的各种信息。例如:HTTP Response Splitting、System Information Leak、Privacy Violation等漏洞。
  测试工具:Fortify Source Code Analysis Engine、Fortify Security Tester
  软件测试流程
  1.业务受理:达成合作意向,确认需求,合同签订;
  2.测试准备:需求分析,环境准备,资源调配;
  3.测试设计:计划方案,用例设计,工具准备;
  4.测试执行:环境核查,原始记录,回归测试;
  5.报告发布:报告起草,评审,发布。