微信公众号:计算机与网络安全
▼
C#语言源代码漏洞测试规范
▼
(全文略)
C#语言是一种面向对象的、运行于.NET Framework之上的高级程序设计语言。它广泛应用于Windows平台应用软件的开发,是.NET开发的首选语言。本文件的C#语言语法遵循ISO/IEC 23270:2006。众所周知,由于各种人为因素影响,每个软件的源代码都难免会存在漏洞,而软件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为尽量减少C#语言源代码中存在的漏洞,有必要制定针对C#语言程序的源代码漏洞测试规范。
源代码漏洞测试可在开发过程的软件编码活动之后实施,也可在运行和维护过程中实施。本文件仅针对自动化静态分析工具支持的关键漏洞进行说明,应用本文件开展源代码漏洞测试时应根据实际需要对漏洞进行裁剪和补充。
本文件规定了C#语言源代码漏洞测试的测试总则和测试内容。本文件适用于开发方或第三方机构的测试人员利用自动化静态分析工具开展的C#语言源代码测试活动,C#语言的程序设计和编码人员以及源代码漏洞测试工具的设计人员也可参考使用。
源代码作为软件产品的重要组成部分,其测试过程基本等同软件产品的测试过程。本文件遵循《计算机软件测试规范》的要求将源代码测试过程分为测试策划、测试设计、测试执行和测试总结四个阶段。
测试策划主要对整个源代码漏洞测试的过程进行策划。测试策划应确定测试的目标、范围、依据、环境和工具,应分析与评估测试风险,并制定应对措施。测试策划应重点明确源代码漏洞测试应划分的阶段以及各阶段的人员角色、任务、时间和工作成果,形成源代码漏洞测试进度计划表。
测试设计应根据测试目标,结合被测源代码的业务和技术特点,明确测试环境和工具,确定测试需求、测试方法、测试内容、测试准入条件和测试准出条件。测试方法应采用自动化静态分析工具扫描和人工分析相结合的方法。C#语言源代码漏洞测试的测试内容宜包括但不限于以下源代码漏洞分类:a)行为问题;b)路径错误;c)数据处理;d)处理程序错误;e)不充分的封装;f)安全功能;g)时间和状态;h)Web问题;i)用户界面错误。
若被测源代码采用了C#语言的第三方框架,测试人员应根据被测源代码的实际情况在测试内容中增加第三方框架相关的漏洞。应设计测试用例。源代码漏洞测试的测试用例应包括但不限于以下要素:a)名称和编号;b)自动化静态分析工具的操作步骤和参数配置;c)自动化静态分析工具的期望操作结果。
测试执行包括自动化静态分析工具扫描和人工分析。应根据测试用例明确的操作步骤,使用自动化静态分析工具执行测试,记录测试执行过程及测试结果。应对自动化静态分析工具的测试结果进行人工分析,人工分析宜包括但不限于以下任务:a)宜按漏洞类别或漏洞风险级别从高到低的顺序分析扫描得到的所有源代码漏洞;b)结合源代码的上下文和业务需求,验证疑似漏洞,筛除误报的源代码漏洞;c)与开发人员沟通确认源代码漏洞分析结果。
测试总结应对整个源代码漏洞测试过程进行总结,测试总结应包括但不限于以下任务:a)核查测试环境、工具、内容、方法和结果是否正确。b)确认测试目标和测试需求是否得到满足;c)总结测试内容、方法和结果,出具测试报告。
![C#语言源代码漏洞测试规范]( "C#语言源代码漏洞测试规范")
附:C#语言源代码漏洞测试规范.pdf
▲
- The end -
原文始发于微信公众号(计算机与网络安全):C#语言源代码漏洞测试规范
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1399724.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论