代码审查
静态测试
- 静态测试在不运行软件情况下,通过分析软件代码或编译后的应用程序,评估软件的安全性
- 经常涉及自动化检测工具,用于检测常见软件溢出
- 主要方法:桌面检查,代码走查,代码审查
动态测试
- 动态测试在软件运行环境下测试软件的安全性,如果阻止部署他人开发的软件,将是唯一选择
- 涉及Web应用程序检测是否存在跨站脚本、SQL注入或其他lou洞
- 生产环境中,动态测试应该谨慎开展。主要方法:边界值分析、逻辑覆盖、基本路径
模糊测试
- 模糊测试是一种特殊的动态测试技术,向软件提供许多不同类型输入来测试其限制,发现之前未检测到的缺陷
- 涉及软件性能、是否崩溃、缓冲区溢出或其他不可取、不预知的结果
- 模糊测试主要分为两大类:突变模糊测试、预生成模糊测试
接口测试
- 应用编程接口API
- 用户界面UI
- 物理接口
误用率测试
错误的输入值会有什么风险
测试覆盖率分析
网站监测
实施安全管理流程
日志审查
- 安全信息和事件管理SIEM工具包可以使日志审查许多常规工作自动化
- 诸如syslog、windows组策略GPO、eDiscover