軟件安全性是一個廣泛而復(fù)雜的主題，每一個新的軟件總可能有完全不符合所有已知模式的新型安全性缺陷出現(xiàn)。要避免因安全性缺陷問題受各種可能類型的攻擊是不切實(shí)際的。在軟件安全測試時，運(yùn)用一組好的原則來避免不安全的軟件上市、避免不安全軟件受攻擊，就顯得十分重要。

一、軟件安全性測試基本概念

軟件安全性測試包括程序、網(wǎng)絡(luò)、數(shù)據(jù)庫安全性測試。根據(jù)系統(tǒng)安全指標(biāo)不同測試策略也不同。

1.用戶程序安全的測試要考慮問題包括：

① 明確區(qū)分系統(tǒng)中不同用戶權(quán)限;

② 系統(tǒng)中會不會出現(xiàn)用戶沖突;

③ 系統(tǒng)會不會因用戶的權(quán)限的改變造成混亂;

④ 用戶登陸密碼是否是可見、可復(fù)制;

⑤ 是否可以通過絕對途徑登陸系統(tǒng)(拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng));

⑥ 用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過輸入口令進(jìn)入系統(tǒng)。

2.系統(tǒng)網(wǎng)絡(luò)安全的測試要考慮問題包括：

① 測試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上;

② 模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅固;

③ 采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞;

④ 采用各種木馬檢查工具檢查系統(tǒng)木馬情況;

⑤ 采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞。

3.數(shù)據(jù)庫安全考慮問題：

① 系統(tǒng)數(shù)據(jù)是否機(jī)密(比如對銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒有太高要求);

② 系統(tǒng)數(shù)據(jù)的完整性;

③ 系統(tǒng)數(shù)據(jù)可管理性;

④ 系統(tǒng)數(shù)據(jù)的獨(dú)立性;

⑤ 系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力(數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整)。

多年以來，有很多人列出了最佳滲透測試和網(wǎng)絡(luò)安全評估工具，但是我想用一種不同的方法，按分類列舉最佳測試工具。廢話不多說，下面根據(jù)調(diào)查分出10類，基本反映了安全測試工具的使用現(xiàn)狀：

最受歡迎的軟件測試工具有哪些？

1. 從總體看，（靜態(tài)的）代碼分析工具和（動態(tài)的）滲透測試工具應(yīng)用還是比較普遍，超過60%，而且滲透測試工具（73.68%）略顯優(yōu)勢，高出10%。模糊測試工具，可能大家感覺陌生，低至16%，但它在安全性、可靠性測試中還是能發(fā)揮作用的。從理論上看，代碼分析工具應(yīng)該能達(dá)到95%以上，因?yàn)樗子?，且安全性已?jīng)是許多公司的紅線，得到足夠重視。希望以后各個公司能夠加強(qiáng)代碼分析工具和模糊測試工具的應(yīng)用。

2. Java代碼安全性分析工具前三名是：IBM AppScan Source Edition（42.11%）、Fotify Static Code Analyzer（36.84%）、Findbugs（26.32%）。

3. C/C++代碼安全性分析工具前三名是：C++Test（38.89%）、IBM AppScan Source Edition（38.89%）、Fotify Static Code Analyzer（27.78%）、Visual Studio（27.78%）?？赡躄DRA Testbed比較貴，關(guān)鍵的嵌入式軟件采用比較多，所以沒有進(jìn)前三。

4. JavaScript代碼安全性分析工具應(yīng)用最多的是Google's Closure Compiler，其次是JSHint，也有的公司用Coverity來進(jìn)行JS的代碼分析。

5. Python代碼安全性分析工具應(yīng)用最多的是Pychecker，其次是PyCharm，而Pylint使用比較少，也有幾個公司用Coverity來進(jìn)行Python的代碼分析。

6. Web應(yīng)用安全性測試的商用工具中，IBM AppScan異軍突起，高達(dá)70%的市場，其它商用工具無法與它抗衡，第2名SoapUI和它差距在50%以上，HP webInspect 不到10%。

7. Web應(yīng)用安全性測試的開源工具中，F(xiàn)irebug明顯領(lǐng)先，將近50%，比第2名OWASP ZAP高12%，第三名是Firefox Web Developer Tools，超過了20%。

8. Android App的安全性測試工具中，Android Tamer領(lǐng)先，將近30%，比第2、3名AndroBugs、Mobisec、Santoku高15%左右。

9. 網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具中，Wireshark遙遙領(lǐng)先，超過70%。其次就是Tcpdump、Burp Suite，占30%左右。網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具挺多的，但從這次調(diào)查看，越來越集中到幾個工具中，特別是Wireshark功能強(qiáng)，覆蓋的協(xié)議比較多，深受歡迎。

10. SQL注入測試工具排在前三位的：SQLInjector、SQL Power Injector、OWASP SQLiX，三者比較接近，差距在6%左右。其它兩項工具Pangolin、SQLSqueal也占了10%。

總結(jié)：

這些工具將安全測試員從手動審核的工作中解放出來。它們也使審核的過程變得更為快速有效。執(zhí)行有力的安全測試評估并不意味著簡單地從列表中選擇一個工具。相反，它意味著評估組織結(jié)果，以及評估信息、要求和所涉及的利益相關(guān)者。這個過程將有助于構(gòu)建一個理想的策略，包括使用工具來有效和高效地識別和解決安全漏洞。