軟件安全性是一個(gè)廣泛而復(fù)雜的主題，每一個(gè)新的軟件總可能有完全不符合所有已知模式的新型安全性缺陷出現(xiàn)。要避免因安全性缺陷問(wèn)題受各種可能類型的攻擊是不切實(shí)際的。在軟件安全測(cè)試時(shí)，運(yùn)用一組好的原則來(lái)避免不安全的軟件上市、避免不安全軟件受攻擊，就顯得十分重要。

一、軟件安全性測(cè)試基本概念

軟件安全性測(cè)試包括程序、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)安全性測(cè)試。根據(jù)系統(tǒng)安全指標(biāo)不同測(cè)試策略也不同。

1.用戶程序安全的測(cè)試要考慮問(wèn)題包括：

① 明確區(qū)分系統(tǒng)中不同用戶權(quán)限;

② 系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突;

③ 系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y;

④ 用戶登陸密碼是否是可見、可復(fù)制;

⑤ 是否可以通過(guò)絕對(duì)途徑登陸系統(tǒng)(拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng));

⑥ 用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過(guò)輸入口令進(jìn)入系統(tǒng)。

2.系統(tǒng)網(wǎng)絡(luò)安全的測(cè)試要考慮問(wèn)題包括：

① 測(cè)試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上;

② 模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅(jiān)固;

③ 采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞;

④ 采用各種木馬檢查工具檢查系統(tǒng)木馬情況;

⑤ 采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞。

3.數(shù)據(jù)庫(kù)安全考慮問(wèn)題：

① 系統(tǒng)數(shù)據(jù)是否機(jī)密(比如對(duì)銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒有太高要求);

② 系統(tǒng)數(shù)據(jù)的完整性;

③ 系統(tǒng)數(shù)據(jù)可管理性;

④ 系統(tǒng)數(shù)據(jù)的獨(dú)立性;

⑤ 系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力(數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整)。

多年以來(lái)，有很多人列出了最佳滲透測(cè)試和網(wǎng)絡(luò)安全評(píng)估工具，但是我想用一種不同的方法，按分類列舉最佳測(cè)試工具。廢話不多說(shuō)，下面根據(jù)調(diào)查分出10類，基本反映了安全測(cè)試工具的使用現(xiàn)狀：

最受歡迎的軟件測(cè)試工具有哪些？

1. 從總體看，（靜態(tài)的）代碼分析工具和（動(dòng)態(tài)的）滲透測(cè)試工具應(yīng)用還是比較普遍，超過(guò)60%，而且滲透測(cè)試工具（73.68%）略顯優(yōu)勢(shì)，高出10%。模糊測(cè)試工具，可能大家感覺陌生，低至16%，但它在安全性、可靠性測(cè)試中還是能發(fā)揮作用的。從理論上看，代碼分析工具應(yīng)該能達(dá)到95%以上，因?yàn)樗子?，且安全性已?jīng)是許多公司的紅線，得到足夠重視。希望以后各個(gè)公司能夠加強(qiáng)代碼分析工具和模糊測(cè)試工具的應(yīng)用。

2. Java代碼安全性分析工具前三名是：IBM AppScan Source Edition（42.11%）、Fotify Static Code Analyzer（36.84%）、Findbugs（26.32%）。

3. C/C++代碼安全性分析工具前三名是：C++Test（38.89%）、IBM AppScan Source Edition（38.89%）、Fotify Static Code Analyzer（27.78%）、Visual Studio（27.78%）?？赡躄DRA Testbed比較貴，關(guān)鍵的嵌入式軟件采用比較多，所以沒有進(jìn)前三。

4. JavaScript代碼安全性分析工具應(yīng)用最多的是Google's Closure Compiler，其次是JSHint，也有的公司用Coverity來(lái)進(jìn)行JS的代碼分析。

5. Python代碼安全性分析工具應(yīng)用最多的是Pychecker，其次是PyCharm，而Pylint使用比較少，也有幾個(gè)公司用Coverity來(lái)進(jìn)行Python的代碼分析。

6. Web應(yīng)用安全性測(cè)試的商用工具中，IBM AppScan異軍突起，高達(dá)70%的市場(chǎng)，其它商用工具無(wú)法與它抗衡，第2名SoapUI和它差距在50%以上，HP webInspect 不到10%。

7. Web應(yīng)用安全性測(cè)試的開源工具中，F(xiàn)irebug明顯領(lǐng)先，將近50%，比第2名OWASP ZAP高12%，第三名是Firefox Web Developer Tools，超過(guò)了20%。

8. Android App的安全性測(cè)試工具中，Android Tamer領(lǐng)先，將近30%，比第2、3名AndroBugs、Mobisec、Santoku高15%左右。

9. 網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具中，Wireshark遙遙領(lǐng)先，超過(guò)70%。其次就是Tcpdump、Burp Suite，占30%左右。網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具挺多的，但從這次調(diào)查看，越來(lái)越集中到幾個(gè)工具中，特別是Wireshark功能強(qiáng)，覆蓋的協(xié)議比較多，深受歡迎。

10. SQL注入測(cè)試工具排在前三位的：SQLInjector、SQL Power Injector、OWASP SQLiX，三者比較接近，差距在6%左右。其它兩項(xiàng)工具Pangolin、SQLSqueal也占了10%。

總結(jié)：

這些工具將安全測(cè)試員從手動(dòng)審核的工作中解放出來(lái)。它們也使審核的過(guò)程變得更為快速有效。執(zhí)行有力的安全測(cè)試評(píng)估并不意味著簡(jiǎn)單地從列表中選擇一個(gè)工具。相反，它意味著評(píng)估組織結(jié)果，以及評(píng)估信息、要求和所涉及的利益相關(guān)者。這個(gè)過(guò)程將有助于構(gòu)建一個(gè)理想的策略，包括使用工具來(lái)有效和高效地識(shí)別和解決安全漏洞。