連結:https://pan.baidu.com/s/17jkyGn-Wm-zC6QQLkWjrsw 提取碼:o94n
掃描?在很多人眼中,做安全的就是整天那個工具在哪裡掃描操作,使用各種不同的工具做掃描。
是的,掃描是安全測試很重要的一部分,掃描可快速有效發現問題。掃描工具的易用性,友善性決定了其重要地位。但是掃描工具的局限性,程式的不夠靈活等缺點也是顯而易見的。不管是掃描報告的分析、漏洞的深度挖掘、測試的組織等等工作都離不開安全測試人員,是以隻能說掃描工具減輕了測試人員的工作量,是安全測試的一種手段。
我們經常聽到一些有關安全的名稱,像軟體安全、資訊安全、網絡安全、計算機安全等一些詞組,這些領域都是做安全的,那我們屬于哪一個呢?
【軟體安全】往小了說就是某一個軟體産品,說大了除了硬體就是軟體了。
【資訊安全】看名字我們就知道關鍵是資訊兩個字,但是什麼是資訊呢,客戶的資料還是一切有用的資料?
【網絡安全】什麼是網絡,網絡系統硬體、軟體這都是些模糊的可大可小的概念。
【計算機安全】PC?伺服器?路由器?
我們可以看到這些概念往大了說成了組成我們今天網際網路的各種裝置包括各種嵌入式機器、外接USB、藍牙等裝置的共同體的硬軟體,以及使用、維護、管理這些東西人的整個安全問題。
在看他們的差別,他們以不同的地方為其主要關注點,或者說出發點,他們并沒有明顯的界限卻有着自己的側重點。
我們的側重點是什麼呢,我們産品是一個什麼樣的産品呢?我們有web服務、接口服務、檔案服務、視訊等服務,我們把他們統一稱為我們的系統,那麼我們就是在做這個系統的安全測試,是以我覺得我們應該定位為系統安全測試。
當然我們的系統運作中也涉及到人、涉及到硬體,此處都不是我們的關注點,我們隻從軟體技術的角度來識别它。那麼,系統安全測試就成了差別于功能測試,和性能測試一樣,單獨列出來的專項測試。
信任、人性(網絡安全最大的漏洞就是人)、止損、攻防。
以上是目前網上一些主要的論點,以信任或者不信任作為本質出發點的還是占據主流的。
【敏感資料】具體的範圍取決于産品具體的應用場景,産品應根據風險進行分析和判斷。
典型敏感資料包括密碼、銀行賬号、大批量個人資料、使用者通信内容和密鑰等。
【個人資料】指直接通過該資料或者結合該資料與其他的資訊,可識别出自然人的資訊。
【匿名化】指對個人資料進行更改(單獨單向散列、截短、替換等,如需保留個人資料真實值與替換值之間的對應關系,可使用對稱加密或映射表方式,但密鑰/映射表必須由資料所有這控制),使原有關個人資訊不再能歸屬到一個可識别的自然人,或推理這種歸屬需要耗費過多、不相稱的時間、費用和精力。
![淺談---測試Native Windows Command與Native PowerShell Command哪個效率高[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)