1、目的
在网络安全漏洞测试中,我们通常会进行网络扫描、系统测试和渗透测试。漏洞扫描主要针对系统存在的漏洞,以发现网站、应用和系统存在的安全缺陷。
2、软件安全漏洞
漏洞是指软件在功能上存在的缺陷或在结构上的不合理。在信息安全测试中,软件安全漏洞指的是软件的一种严重的安全缺陷,如:缓冲区溢出漏洞、 Web应用程序漏洞和数据库文件加密问题等。
3、信息安全风险
软件存在漏洞并不一定就会给用户造成损失,但当我们发现这些潜在的安全风险时,如果我们不采取相应措施进行处理,就有可能产生灾难性的后果。比如:在某网站上存在一个严重安全缺陷,使得黑客可以在短时间内对该网站进行远程控制或获取用户名和密码信息;或者系统中存在一个严重安全缺陷,使得黑客可以通过这种方式访问或登录用户账号。
4、检测方法
在信息安全测试中,我们会根据被测软件是否存在严重安全缺陷,把软件分成了4个等级:A类、C类和D类。这4种软件类别所对应的等级与信息系统中的级别相对应。在信息系统中等级最高的是D类,最低则为A类。
5、漏洞分类
从功能上将软件分为应用程序和数据库文件两大类。应用程序通常是指运行在服务器上用于运行系统或应用程序的内存文件;而数据库文件则是用来存储应用程序所需要数据信息的文件。