一、軟件安全測試是什么?

　　軟件安全測試主要是對軟件產(chǎn)品進(jìn)行安全問(wèn)題上的測試，找到系統中可能存在的安全隱患和面對非法入侵時(shí)的防范能力。

　　二、為什么要進(jìn)行軟件安全測試?

　　進(jìn)行軟件安全測試歸根結底就是為了提升軟件產(chǎn)品的安全質(zhì)量，通過(guò)測試的過(guò)程盡量在軟件上線(xiàn)前找到安全問(wèn)題并修復以降低成本，以及驗證系統中的保護機制在遇到實(shí)際問(wèn)題時(shí)能否對系統進(jìn)行保護，使之不受干擾和非法入侵。

　　三 軟件安全測試怎么做?

　　一個(gè)完整的軟件安全測試，應當包括以下步驟：

　　1、部署與基礎結構

　　部署有沒(méi)有包括內部防火墻，網(wǎng)絡(luò )是否安全，目標環(huán)境支持怎樣的信任級別，基礎結構安全性需求的限制是什么。

　　2、輸入驗證

　　如何驗證輸入,是否驗證Web頁(yè)輸入，是否對傳遞到組件或Web服務(wù)的參數進(jìn)行驗證，是否驗證從數據庫中檢索的數據，是否依賴(lài)客戶(hù)端的驗證，應用程序是否易受SQL注入攻擊，應用程序是否易受XSS攻擊，如何處理輸入。

　　3、身份驗證

　　是否區分受限訪(fǎng)問(wèn)和公共訪(fǎng)問(wèn)，如何驗證數據庫身份。

　　4、授權

　　如何在數據庫中授權應用程序，如何向用戶(hù)授權，如何將訪(fǎng)問(wèn)限定于系統級資源。

　　5、配置管理

　　是否保證配置存儲的安全

　　6、敏感數據

　　是否存儲機密信息，如何存儲敏感數據，是否在網(wǎng)絡(luò )中傳遞敏感數據，是否記錄敏感數據。

　　7、會(huì )話(huà)管理

　　是否限制會(huì )話(huà)生存期，如何確保會(huì )話(huà)存儲狀態(tài)的安全。

　　8、加密

　　如何確保加密密鑰的安全性。

　　9、參數操作

　　是否在參數過(guò)程中傳遞敏感數據，是否驗證所有的輸入參數，是否為了安全問(wèn)題而使用HTTP頭數據。

　　10、異常管理

　　是否使用結構化的異常處理，是否向客戶(hù)端公開(kāi)了太多的信息。

　　四、軟件安全測試報告如何收費

　　因為軟件測試是按具體的測試點(diǎn)和項目大小來(lái)決定的，因此行業(yè)內并無(wú)具體的統一報價(jià)。感興趣的朋友可以咨詢(xún)卓碼軟件測評這家多年專(zhuān)注軟件測試的第三方測評公司，獲得CMA、CNAS資質(zhì)認證，各類(lèi)安全測試、性能測試、功能測試、兼容性測試、驗收測試等軟件測試項目全國都可進(jìn)行，線(xiàn)上線(xiàn)下都可測試，出具的軟件測試報告具備法律效力。