软件安全性测试知识

软件安全性是软件在受到恶意攻击时仍提供所需功能的能力。对于保密安全性测试，目前主要有代码走读与审查、静态分析、形式化方法、故障注入、基于模型的测试、基于属性的测试、语法测试、模糊测试等测试方法

主流安全性测试工具分类

工具类型 商用 开源或免费

源代码分析器 Fortify Software 公司的Source Code Analysis Suite；Ounce Labs 实验室的Prexis；Secure

Software 公司的CodeAssure；Klocwork公司的K7；Coverity公司的Prevent；Compuware

公司的DevPartnerSecurityChecker；Parasoft公司的C++Test、JTest、. TEST、WebKing；

CenterLine Systems 公司的CodeCenter；CodeScan Labs

实验室的CodeScan；GrammaTech

公司的CodeSonar；SPI

Dynamics 公司的DevInspect；SofCheck公司的SoftCheck

Inspector；

PolySpace Technologies 公司的PolySpace Rough Auditing Tool for

Security (RATS)；

lawFinder；BOON；ASTREE；C Code nalyzer(

CCA)；Csur；CQual；Jlint；ITS4；

Splint；UNO；LAPSE；PHP-Sat；PMD

字节码扫描器 LogicLab公司的BugScan FindBugs

二进制代码扫描器 Aspect Security 公司的AspectCheck；Security

Innovation 公司的BEAST；LogicLab公司的

BugScan FxCop；BugScam

数据库脆弱性扫描器 Application Security 公司的AppDetective；Internet

Security Systems 公司的Database Scanner MetaCortex

网络漏洞扫描器 Internet Security Systems 公司的Internet Security

Scanner；NTObjectives公司的NTOSpider；

GFI 公司的GFILANguard；eEye公司的Retina；NMAP；Nessus；SuperScan；Metasploit

Framework AdvancedResearchCorporation公司的Security

Auditor's Research Assistant

(SARA)；Saintcorporation公司的SAINT

Web 应用漏洞扫描器 SPI Dynamics 公司的WebInspect；Watchfire公司的AppScan；N-Stalker 公司的N-Stalker

WebApplication Security

Scanner；Acunetix公司的AcunetixWebVulnerability

Scanner；portswigger.

net 公司的Burp suite OWASPWebScarab；OWASP

Berretta；Nikto；

Wikto；Paros ProxySpike

Proxy；

EOR；Pantera

Web 服务扫描器 Parasoft公司的SOATest；Vordel公司的SOAPbox；Optimyz公司的WebServiceTester；Cross-

Check 公司的SOAPSonar；Forum Systems 公司的XRay

Diagnosis；MindReef公司的SOAPScope；

Empirix公司的e-TEST suite

forWebServicesTesting；AdventNet公司的QEngine；

ITKO 公司的LISA Complete

SOA Test Suite FoundstoneWSDigger；

PushtotestTestMaker

动态分析工具 Compuware BoundsChecker Foundstone .NETMon；CLR

Profiler；

NProf

配置分析工具 Desaware CAS/Tester FoundstoneSSLDigger；PermCalc

设计验证工具 SDMetrics公司的SDMetrics