2022年CISP教材知識點整理：軟件安全測試

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

10.4.2 軟件安全測試

1.軟件安全測試基本概念

2.軟件安全測試方法

模糊測試和滲透測試是常用的軟件安全性測試方法

（1）模糊測試

模糊測試，也稱Fuzz測試

一種通過提供非預期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法

模糊測試的主要步驟

生成大量的畸形數(shù)據(jù)作為測試用例

將這些測試用例作為輸入應用于被測對象

檢測和記錄由輸入導致的任何崩潰或異常現(xiàn)象

查看測試日志，深入分析產(chǎn)生崩潰或異常的原因

影響模糊測試效果的一些關鍵因素

測試點

樣本選擇

數(shù)據(jù)關聯(lián)性

自動化框架

異常監(jiān)控與異常恢復

分析評估

（2）滲透測試

滲透測試是一種模擬攻擊者進行攻擊的測試方法，從攻擊的角度來測試軟件系統(tǒng)，并評估系統(tǒng)安全性的一種測試方法

滲透測試會使用多種網(wǎng)絡安全工具，自動化的滲透測試平臺也逐漸出現(xiàn)，比較著名的包括IMPACT、CANVAS和Metasploit

開展?jié)B透測試必須注意以下兩點

它是非破壞性測試

需要進行測試風險控制

（3）靜態(tài)代碼安全測試

3.安全測試思路

做好軟件安全性測試的必要條件

（1）充分了解軟件安全漏洞

（2）評估軟件安全風險

安全性缺陷數(shù)據(jù)評估

采用漏洞植入法來進行評估

（3）擁有高效的軟件安全測試技術和工具

注：以上內(nèi)容來源于網(wǎng)絡，如有侵權，可聯(lián)系客服刪除