13691093503Java语言是一种面向对象的、运行于Java虚拟机之上的高级程序设计语言。它广泛应用于各于各大型信息系统和智能终端应用软件的开发。众所周知,由于各种人为因素的影响,每个软件的源代码都难免会存在漏洞,而软件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为尽量减少Java语言源代码中存在的洞,有必要制定针对Java语言程序的源代码漏洞测试规范。
GB/T 34944-2017《Java语言源代码漏洞测试规范》,核心测试项目涵盖如下9个大类:
1、行为问题:由于应用程序的意外行为而引发的漏洞。包括我们经常见到的各种类型的操控。
2、路径错误:不恰当的处理访问路径而引发的漏洞。通常来讲指的是攻击者可以把这些路径的参数做控制,有些标准也叫路径操控,有些工具也叫路径操纵。
3、数据处理:处理数据的功能中发现的漏洞。包括数据的一些输入输出、注入、信息的泄露等。
4、处理程序错误:由于处理程序的管理不当而引发的漏洞。
5、不充分的封装:未充分封装关键数据或功能而引发的漏洞。一般会涉及到序列化相关的问题。
6、安全功能:软件安全功能如身份鉴别、访问控制、机密性、密码学和特权管理等相关的漏洞。像一些越权问题,接口可以遍历等问题。
7、时间和状态:在多系统、进程或线程并发计算的环境下由于时间和状态管理不恰当而引发的漏洞。像有些软件在使用过程中,内存控制得不好,会在运行过程中看到其他数据,不属于自己个人的数据。
8、Web问题:Web技术相关的漏洞。主要涉及到一些跨站请求伪造等这些常见的Web层面的安全问题
9、用户界面错误:与用户界面相关的漏洞。主要涉及到界面的劫持。
在进行漏洞测试时,需要遵循一定的流程和技巧。首先,要采用专业的漏洞扫描工具对源代码进行扫描,以便发现源代码中存在的漏洞。其次,要根据待测源代码的特点,采用相应的测试方法,如静态分析、动态测试等,以便全面检测Java语言源代码中的漏洞。同时,在测试过程中需要及时跟进测试进展,记录测试结果和相关数据,以便为后续的评估和报告提供依据。
北京软件测试源代码漏洞扫描CNAS测试报告,仪综所软件评估检测中心,CNAS和CMA认可的国家认证机构,国营科研院所检测机构,是北京一家专业提供各类软件产品如计算机软件、工业软件、通用软件、嵌入式软件、门户网站系统、票务系统、各类手机APP等进行软件质量测试评估的第三方国家认可检测机构。可进行软件产品的功能测试、性能测试、兼容性测试、回归测试、易用性测试、代码审查、安全性测试、漏洞扫描、安全性进行全面的软件测试服务,出具CNAS,CMA认可的国家级检测报告 。从源代码入手,从根源处解决软件安全问题实验室具备静态代码安全测试工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
检测试验找彭工136-9109-3503。
更多精彩: 免费发布信息网 http://www.zhelice.com
