问题
问答题
阅读以下说明,根据要求回答下面问题
[说明]
某电子商务企业想开发一套B2C电子商务系统,其主要目的是基于互联网在线销售商品和服务,使顾客可以在线浏览和购买商品和服务。系统的用户的IT技能、访问系统的方式差异较大,因此系统的易用性、安全性、可靠性、兼容性等方面的测试至关重要。
该B2C电子商务系统的部分要求是:①所有链接都要正确;②支持不同移动设备、操作系统和浏览器;③系统需通过SSL进行访问,没有登录的用户不能访问应用内部的内容等。
为了达到预期的安全性,测试人员采用了静态代码安全测试、动态渗透测试、程序数据扫描等方法对系统进行安全性测试。其中,______对应用系统进行攻击性测试,从中找出系统运行时所存在的安全漏洞;______通过内存测试来发现缓冲区溢出类的漏洞;______在早期的代码开发阶段完成。
答案
参考答案:动态渗透测试 程序数据扫描 静态代码安全测试
解析: Web应用的安全性测试的体系结构和设计可以想出很多与设计有关的漏洞,从而提高应用程序的整体安全性。一个完整的Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。Web应用的安全性测试是一项重要而庞大的工作,需要测试内部和外部的安全性威胁。Web应用的安全性测试需要很好地进行规划。
依题意,动态渗透测试对应用系统进行攻击性测试,从中找出系统运行时所存在的安全漏洞;程序数据扫描通过内存测试来发现缓冲区溢出类的漏洞;静态代码安全测试通过对程序代码进行分析,测试系统的安全性,它通常在早期的代码开发阶段完成。
