Software-testing-dictionary-security-testing
提供:Dev Guides
セキュリティテスト
セキュリティテストとは何ですか?
セキュリティテストは、情報システムがデータを保護し、意図したとおりに機能を維持しているかどうかを判断するテスト手法です。 また、次の6つの基本原則を検証することも目的としています。
- 守秘義務
- 誠実さ
- 認証
- 承認
- 可用性
- 否認防止
セキュリティテスト-テクニック:
- 注入
- 壊れた認証とセッション管理
- クロスサイトスクリプティング(XSS)
- 安全でない直接オブジェクト参照
- セキュリティの設定ミス
- 機密データの露出
- 機能レベルのアクセス制御がありません
- クロスサイトリクエストフォージェリ(CSRF)
- 既知の脆弱性を持つコンポーネントの使用
- 未検証のリダイレクトと転送
オープンソース/無料のセキュリティテストツール:
| Product | Vendor | URL |
|---|---|---|
| FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
| FindBugs | The University of Maryland | http://findbugs.sourceforge.net/ |
| FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
| Ramp Ascend | GPL | http://www.deque.com |
商用セキュリティテストツール:
| Product | Vendor | URL |
|---|---|---|
| Armorize CodeSecure | Armorize Technologies | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | VERACODE | http://www.veracode.com |
