文档介绍:Nothing is impossible ——软件安全测试基础蔡利平 2011 年5月?什么是软件安全?关注软件安全的原因?软件安全包含哪些方面?软件安全问题产生原因?软件安全问题解决之道?软件安全测试方法内容?2003 年蠕虫病毒事件?熊猫烧香病毒?金融业攻击案例?伊朗核电站“震网( )”病毒?欧洲宇航局的阿丽亚娜 5号火箭软件故障?我们的案例: ? Kingview 历史库端口漏洞? Kingview WEB 漏洞 典型案例 4 ?什么是安全? ISO: 为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件不因偶然或恶意的原因遭到破坏、更改和泄漏?物理安全?逻辑安全?信息的机密性?信息的完整性?信息的可用性?安全的产品基本概念 5 ?漏洞(vulnerability) ? RFC 2828 :系统设计、实现或操作和管理中存在的缺陷或弱点,能被利用而违背系统的安全策略?漏洞挖掘?漏洞分析?漏洞利用? 0day 漏洞? Shell Code 基本概念 6 ?软件自身安全?软件自身完整性?软件自身可信性?软件存储安全?软件通信安全?软件运行安全软件安全需求 7 ?可信计算(puting) 的需要?墨菲定律(Murphy's Law) ?所有的程序都有缺陷?安全的产品是高质量的产品?≠完美的软件?媒体(或竞争对手)将在安全问题上大做文章?人们将避开那些实际工作状况与其广告不符的产品?不要成为牺牲品?修补安全漏洞的代价是高昂的关注软件安全的原因安全的软件可靠的软件 8 ?软件的应用范围越来越广,所起的作用越来越重要?黑客攻击越来越容易关注软件安全的原因?漏洞利用速度越来越快关注软件安全的原因?病毒的种类和感染的机会越来越多关注软件安全的原因