Beyond Security
beSTORM是一套安全測試(Black Box Testing)評估工具,和使用攻擊行為比對法或企圖找出產品已知漏洞等的工具不同,beSTORM會聰明地嘗試每一種可能的攻擊方式,在網路、通訊協定、檔案、硬體、動態連結函式庫及應用程式介面中尋找還未被發覺的漏洞。
beSTORM 資訊安全軟體測試
beSTORM是一套安全測試(Black Box Testing)評估工具,和使用攻擊行為比對法或企圖找出產品已知漏洞等的工具不同,beSTORM會聰明地嘗試每一種可能的攻擊方式,在網路、通訊協定、檔案、硬體、動態連結函式庫及應用程式介面中尋找還未被發覺的漏洞。
beSTORM被ISASecure® 指定為認證嵌入式設備CRT項目的測試工具,同時也是Microsoft SDL Pro Network指定的應用程式安全的測試工具,且被眾多廠商廣泛應用於安全測試使用。
智能模糊Fuzzing測試
beSTORM採用了安全審核的測試方法,這種方法有時也被稱為模糊測試或堅實測試(“fuzzing”或“fuzz testing”)。模糊測試能增強了軟體的安全性,它能尋找到一般測試人員所無法發覺的疏漏和缺陷,甚至是程式設計師撰寫了測試程式都無法發現的錯誤。beSTORM採用了智能模糊測試法,它首先會執行最有可能成功的攻擊案例,進而再根據所選擇的協定進行專屬的攻擊行為,因此能對可能出現的漏洞更快地產出結果。
已知或未知的弱點
傳統的程式碼測試工具通常會提供一些測試案例或情境,而這些測試案例的數量通常會是數千種,專業一點的或許會提供到數萬種的測試案例。不過beSTORM提供的測試例數量則是數百萬種,有時甚至逹到數十億種的攻擊組合。而這些測試例在數量上的差別有如傳統的戰爭方式(檢查已知的問題),與未來的戰爭方式 (檢查是否有未知的漏洞)之間的不同。這是程式碼測試工具與beSTORM之間的差異。
beSTORM覆蓋了通訊協定的每一個欄位來進行測試,提供最完整且詳細的測試報告,能將攻擊測試案例轉出成Perl腳本,並可單獨執行攻擊測試驗證。