本文深入解析了安全测试的四大层面:通信层、应用层、系统层和管理层,涵盖了从通信协议到产品资料的安全测试要点。
安全测试分为四个层面,包括通信层、应用服务层、系统层、管理层的测试。
通信层
主要测试通信协议的安全,系统开放的端口,其中操作系统提供网络层和数据链路层协议,存在问题的可能性较小,一般关注开源协议已存在漏洞即可,无需重点关注。应用层服务与协议一般由产品形态决定,产品中可以自定义配置相关协议与参数,需要重点关注与测试。
应用层
应用层包含开发人员开发代码,为整个安全测试的核心模块。主要包括web安全测试,源码安全测试。其中web安全测试从web访问服务的维度,偏向黑盒,进行安全测试。源码安全测试从代码的维度,偏向白盒,进行安全测试。
系统层
主要测试操作系统安全,数据库服务安全,web服务器安全,以及其他一些中间件的安全。
管理层
主要包括产品资料的安全测试,安全策略制定,协调各个层面的安全测试以及安全风险的整体评估。
ps:下节博客介绍每个层面的详细测试方法与测试点。
安全架构参考链接:https://blog.youkuaiyun.com/zj0910/article/details/12748295
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
