测试应用序的安全性.ppt

测试应用程序的安全性 姚砺 东华大学计算机学院 微软的测试 “很多人都认为微软是一家软件开发公司，而事实上，我们是一家软件测试公司” －比尔盖子 在微软内部，软件测试人员与软件开发人员的比率一般为1.5-2.5左右 一次转身最远能产生多远的距离 —从传统软件测试转向安全性测试 如果不付出相当大的努力去消除，每个复杂的软件程序都会有代价高昂的安全漏洞。这些漏洞会造成病毒和蠕虫的横行，也会使得罪犯能够攫取用户的个人财务数据，而这些用户已如惊弓之鸟，并且本来就很不愿意把他们的个人数据放在Internet上。 2005年，CardSystems成为数字化攻击的牺牲品，由于对信用卡数据在未加密情况下存储，有4000多万张借记卡和信用卡泄密，4个月后，这家公司倒闭出售。 安全性测试：不是验证软件的正确性，而是挖掘软件的漏洞（软件中的“不应该”和“不允许”部分，例如：代码中的缓冲区溢出漏洞，电子秤中的作弊后门等）。--- 越崩溃越快乐！ RFC2828将漏洞定义为“系统设计、实现或操作和管理中存在的缺陷或弱点，能被利用而违背系统的安全策略” 例如：对于一个web输入界面的测试，其上有个字段【银行账号】（正确输入是12个数字），对该字段的测试包括： 正确输入验证：正好12个数字（分该账号存在和不存在两种情况验证） 异常输入验证：（模仿用户的一些无意错误操作）输入不满12个数字，超过12个数