渗透测试2---软件安全测试知识体系

原创

一手代码一手诗 2021-06-21 10:53:17 ©著作权

文章标签 渗透测试 文章分类 运维

©著作权归作者所有：来自51CTO博客作者一手代码一手诗的原创作品，请联系作者获取转载授权，否则将追究法律责任

软件质量特性：

1.功能性
2.性能
3.安全性
4.可靠性：大概就是软件运行多少时间不宕机，宕机的最少时间间隔是多少。可靠性是和服务等级挂钩的
5.可用性：易用性，不光是专业人员才会用。应该所有人都能容易上手
6.可修改性/扩展性
7.可变性（维护性）：软件可以被修改的能力，随着平台的升级，软件要调整
8.互操作性：就是一个用户体验

软件安全测试：

软件安全典型案例

 案例一 视频监控系统存在安全隐患
 (一) “弱口令”隐患。视频监控产品在出厂前设置了初始密码（初始密码一般设为"123456"、"888888"、"admin")，由于用户使用时未及时更改，导致被黑客攻击和控制。
 (二) 内存溢出漏洞。部分DVR/NVR产品在处理特制的RTSP请求时，存在内存溢出的风险。通过该漏洞，攻击者可以对设备实施Dos攻击，甚至直接获取设备的最高权限。
 
 案例二 黑客软件攻击网银事件
 犯罪嫌疑人通过黑客软件发现银行大众版网银系统存在漏洞。网银系统存在缺陷，通过模拟浏览器与服务端通讯的方式，非法截获并篡改交易数据，从而导致通过模拟浏览器与服务端通讯的方式，非法截获并篡改交易数据。
 
 案例三 暴力攻击获取网银用户密码事件
 特征码识别程序、弱口令、暴力攻击