admin 管理员组文章数量: 1086019
2024年3月14日发(作者:asyncio怎么读)
网站源代码安全测试规范
目的
制定本测试规范作为应用程序、网站源代码安全测试和评估的依据。
通过本类型的测评发现应用程序、源代码中包括OWASP十大Web漏洞在内的安全
漏洞,识别、定位存在的安全漏洞,并分析漏洞风险,提出整改建议,提高系统的安全性。
测试依据
GB/T-17544信息技术 软件包 质量要求和测试
OWASP十大Web漏洞(Open Web Application Security Project,开放式Web
应用程序安全项目,缩写为OWASP)
测试范围
源代码安全测试的范围可以是以C、C++、JAVA等开发语言编写的应用程序或网站的
全部源代码,也可以是某个独立的业务模块或关键的业务流程模块的源代码。
测试方法
采用源代码分析工具对系统源代码的安全性进行测试,识别、定位代码存在的安全漏
洞,并分析漏洞风险。
源代码选择
选择全部源代码进行测试时,需首先经代码编译,生成应用程序或网站,由委托方确
认应用程序功能或网站内容无误。
代码量较大时,一般选择部分源代码进行测试。源代码的选择由委托测试方和测试方
共同协商确定,对选定代码的测试结果仅对被测代码有效,不能作为评价全部源代码的依
据。
测试工具
支持C/C++、JAVA、.NET等开发语言,内置安全代码规范,能够对代码自动地进行
数据流、语义、结构、控制流、配置五个方面的分析的测试工具,包括:
Fortify公司的Source Code Analysis
Security Innovation公司的CxSuite
工具安装与配置
按照所选用的测试工具手册及技术文档的要求选择工具安装所依赖的硬件和软件,安
装测试工具,启动测试工具自检,确认测试工具安装成功,运行正常。
选择安全代码规范,若委托方有明确的测试需求,按照测试需求配置工具;若委托方
无明确的测试需求,选择测试工具的默认配置,至少包括跨站脚本、SQL注入、系统信息
泄露等。
版权声明:本文标题:网站源代码安全测试规范 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1710393858a571119.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论