本主题概述了 SOAtest 如何促进两种类型的安全测试:
- 身份验证、加密和访问控制(也就是,运行时安全策略验证)。
- 混合安全分析集成了穿透性测试和运行时错误检测。
关于身份验证、加密和访问控制
通过支持执行复杂的身份验证、加密和访问控制测试场景,SOAtest 帮助执行运行时安全策略验证。SOAtest 包括对带安全层的测试服务的安全支持。
在传输层,SOAtest 支持 SSL(服务器和客户端身份验证)、basic、Digest 和 Kerberos 身份验证。
在消息层,SOAtest 支持 WS-Security,包括 X509、SAML、用户名安全令牌、XML 加密和 XML 数字签名。它允许安全令牌验证和负面测试,确保正确地执行消息完整性和身份验证。
了解更多
有关如何执行该验证的更多详情,请查阅 身份验证、加密和访问控制。
关于混合安全分析(Hybrid Security Analysis)
SOAtest 的混合安全分析采用你和你的团队早就已经定义的功能测试,并使用它们来执行对安全攻击实际穿透应用程序的地方进行全自动化评估。
此混合分析:
- 使用穿透性测试来自动生成并运行针对现有 web 或服务功能测试场景的穿透性攻击场景。
- 使用运行时错误检测来监视测试执行期间应用程序的后台运行,以此确定安全性是否真实受到了损害(以及,是否还发生其他运行时错误)。
- 将每个报告的运行时错误与检测到错误时正运行的功能测试关联起来,使得你能够将每个所报告的错误追踪到与问题关联的特定用例。
混合分析关键的两个组件,穿透性测试和运行时错误检测,还可以单独使用。
穿透性测试
SOAtest 的穿透性测试可以针对功能性测试套件生成并运行大量的攻击场景(如 Parasmeter Fuzzing、SQL 和 XPath 注入,跨站点脚本,XML Bombs 等等)。
如果无法或未准备配置运行时错误检测的应用程序服务器,你仍可使用穿透性测试来生成并运行攻击场景,然后使用可选策略来确定这些攻击是否导致了安全安全漏洞。
运行时错误检测
执行 SOAtest 测试时,SOAtest 的运行时错误检测从后台监视应用程序,并在真实发生安全漏洞或其他运行时缺陷(如竞争条件、异常、资源泄漏)时发出警告。
你可能希望执行带有或不带有穿透性测试的运行时错误检测。通过这种方式,你可以确保错误检测同时涵盖了测试用例中捕获到的实际用例功能和根据该功能模拟的攻击。
