Java安全测试

Question

在Java中有自动安全测试这样的东西吗？如果是，它是如何实现的？它只是为了尝试和利用已知的服务器漏洞而编写的JUnit测试，还是它们以安全为中心的测试框架？

作为一个segue，我也对这个OWASP安全测试框架感兴趣，但不知道他们是在使用经典意义上的“框架”(意思是一组需要遵循的指导方针和过程)，还是在软件环境中(实际上他们正在提供自动化的安全测试组件)。

感谢任何能为我解释这件事的人！

Answer 1

模糊测试永不伤害：http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html

模糊测试帮助您确保应用程序不受任何用户输入机会的影响。

在某种程度上，模糊测试对于JUnit测试来说有点尴尬，因为它们是“随机的”。您可能需要在测试套件中的每个输入通道上循环并运行一些模糊测试。

Answer 2

像声纳和FindBugs这样的工具也可以是一种自动的方法来发现至少一些安全问题(FindBugs在查找SQL等风险方面非常有效)。

Answer 3

有一些商业工具，如VeraCode，可以进行安全扫描。我不为他们工作，但我的公司使用它。看上去很彻底。