安全性測(cè)試總結(jié)范文.doc

安全性測(cè)試總結(jié)范文 安全性測(cè)試安全性測(cè)試簡(jiǎn)介軟件安全屬于軟件領(lǐng)域里一個(gè)重要的子領(lǐng)域。 軟件安全一般分為兩個(gè)層次，即應(yīng)用程序級(jí)別的安全性和操作系統(tǒng)級(jí)別的安全性。 應(yīng)用程序級(jí)別的安全性，包括對(duì)數(shù)據(jù)或業(yè)務(wù)功能的訪問(wèn)，在預(yù)期的安全性情況下，操作者只能訪問(wèn)應(yīng)用程序的特定功能、有限的數(shù)據(jù)等。 本文所講的軟件安全主要是應(yīng)用程序?qū)拥陌踩?，包括兩個(gè)層面是應(yīng)用程序本身的安全性。 一般來(lái)說(shuō)，應(yīng)用程序的安全問(wèn)題主要是由軟件漏洞導(dǎo)致的，這些漏洞可以是設(shè)計(jì)上的缺陷或是編程上的問(wèn)題，甚至是開發(fā)人員預(yù)留的后門。 是應(yīng)用程序的數(shù)據(jù)安全，包括數(shù)據(jù)存儲(chǔ)安全和數(shù)據(jù)傳輸安全兩個(gè)方面。 常用的安全性測(cè)試一般來(lái)說(shuō)，對(duì)安全性要求不高的軟件，其安全性測(cè)試可以混在單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試?yán)镆黄鹱觥?但對(duì)安全性有較高需求的軟件，則必須做專門的安全性測(cè)試，以便在破壞之前預(yù)防并識(shí)別軟件的安全問(wèn)題。 安全項(xiàng)目測(cè)試方法預(yù)期結(jié)果備注輸入驗(yàn)證非法輸入錯(cuò)誤頁(yè)面跳轉(zhuǎn)身份驗(yàn)證用戶名和密碼匹配敏感數(shù)據(jù)截取敏感數(shù)據(jù)加密信息異常管理非法操作跳轉(zhuǎn)或提示日志記錄查看內(nèi)容關(guān)鍵活動(dòng)腳本攻擊攻擊程序抵御敏感數(shù)據(jù)測(cè)試1)敏感數(shù)據(jù)在網(wǎng)絡(luò)傳遞時(shí)是否安全。 2)敏感數(shù)據(jù)是否被記錄。 3)敏感數(shù)據(jù)存儲(chǔ)是否安全。 腳本攻擊測(cè)試1)跨站腳本攻擊（XSS）。 2)SQL注入攻擊3)通過(guò)Cookie和Session進(jìn)行的攻擊4)跨站點(diǎn)請(qǐng)求偽造（CSRF）等輸入驗(yàn)證測(cè)試 1、輸入驗(yàn)證輸入的數(shù)據(jù)沒有進(jìn)行有效的控制和驗(yàn)證測(cè)試方法1）輸入的數(shù)據(jù)類型（字符串、整型、實(shí)數(shù)等）；2）允許的字符集；3）最小和最大的長(zhǎng)度；4）是否允許空輸入；5）參數(shù)是否是必須得；6）重復(fù)是否允許；7）數(shù)值范圍；8）特定的值（枚舉型）；9）特定的模式（正則表達(dá)式）。 身份驗(yàn)證測(cè)試1)是否區(qū)分公共訪問(wèn)和受限訪問(wèn)。 2)身份認(rèn)證方式存儲(chǔ)的方式是否安全。 3)身份認(rèn)證級(jí)別要求是否安全。 身份驗(yàn)證用戶名和密碼測(cè)試方法1）測(cè)試有效和無(wú)效的用戶名和密碼（用戶名和密碼中是否可以有空格或回車）；2）是否允許密碼和用戶名一致3）防止惡意注冊(cè)可否用自動(dòng)填表工具自動(dòng)注冊(cè)用戶4）要注意是否存在大小寫敏感；5）是否設(shè)置密碼最小長(zhǎng)度6）是否有校驗(yàn)碼7）密碼錯(cuò)誤次數(shù)有無(wú)限制8）口令過(guò)期失效后，是否可以不登陸而直接瀏覽某個(gè)頁(yè)面關(guān)于URL1)某些需登錄后或特殊用戶才能進(jìn)入的頁(yè)面,是否可以通過(guò)直接輸入網(wǎng)址的方式進(jìn)入2)對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入某些頁(yè)面；3.搜索頁(yè)面等url中含有關(guān)鍵字的,輸入html代碼或JavaScript看是否在頁(yè)面中顯示或執(zhí)行。 身份驗(yàn)證不安全的存儲(chǔ)測(cè)試方法1）在頁(yè)面輸入密碼，頁(yè)面應(yīng)顯示“*”；2）數(shù)據(jù)庫(kù)中存的密碼應(yīng)經(jīng)過(guò)加密；3）地址欄中不可以看到剛才填寫的密碼；4）右鍵查看源文件不能看見剛才輸入的密碼；5）帳號(hào)列表系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號(hào)，如果必須要一個(gè)用戶列表，推薦使用某種形式的假名（屏幕名）來(lái)指向?qū)嶋H的帳號(hào)登錄操作時(shí)間的失效性Web應(yīng)用系統(tǒng)是否有超時(shí)的限制，用戶登陸一定時(shí)間內(nèi)沒有點(diǎn)擊任何頁(yè)面，是否需要重新登陸才能正常使用）如，用戶登錄后在一定時(shí)間內(nèi)（例如10分鐘）沒有點(diǎn)擊任何頁(yè)面，是否需要重新登陸才能正常使用。 測(cè)試方法1）檢測(cè)系統(tǒng)是否支持操作失效時(shí)間的配置，同時(shí)達(dá)到所配置的時(shí)間內(nèi)沒有對(duì)界面進(jìn)行任何操作時(shí)，檢測(cè)系統(tǒng)是否會(huì)將用戶自動(dòng)失效，需要重新登錄系統(tǒng)2）支持操作失效時(shí)間的配置3）支持當(dāng)用戶在所配置的時(shí)間內(nèi)沒有對(duì)界面進(jìn)行任何操作則該應(yīng)用自動(dòng)失效。 授權(quán)直接輸入需要權(quán)限的網(wǎng)頁(yè)地址可以訪問(wèn)測(cè)試方法1）沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁(yè)面的網(wǎng)址，能直接打開頁(yè)面；2）注銷后，點(diǎn)瀏覽器上的后退，可以進(jìn)行操作；3）正常登錄后，直接輸入自己沒有權(quán)限查看的頁(yè)面的網(wǎng)址，可以打開頁(yè)面；4）從權(quán)限低的頁(yè)面可以退回到高的頁(yè)面（如發(fā)送消息后，瀏覽器后退到信息填寫頁(yè)面，這就是錯(cuò)誤的）。 5）用戶登錄是否有次數(shù)限制？是否限制從某些IP地址登錄？上傳文件測(cè)試方法1）上傳文件要有大小的限制2）上傳木馬病毒等；3）上傳文件最好要有格式的現(xiàn)在。 舉例關(guān)于上傳1.上傳文件是否有格式限制,是否可以上傳exe文件；2.上傳文件是否有大小限制,上傳太大的文件是否導(dǎo)致異常錯(cuò)誤,上傳0K的文件是否會(huì)導(dǎo)致異常錯(cuò)誤,上傳并不存在的文件是否會(huì)導(dǎo)致異常錯(cuò)誤；3.通過(guò)修改擴(kuò)展名的方式是否可以繞過(guò)格式限制，是否可以通過(guò)壓包方式繞過(guò)格式限制；4.是否有上傳空間的限制,是否可以超過(guò)空間所限制的大小,如將超過(guò)空間的大文件拆分上傳是否會(huì)出現(xiàn)異常錯(cuò)誤。 5.上傳文件大小大于本地剩余空間大小，是否會(huì)出現(xiàn)異常錯(cuò)誤。 6.關(guān)于上傳是否成功的判斷。 上傳過(guò)程中，中斷。 程序是否判斷上傳是否成功。 7.對(duì)于文件名中帶有中文字符，特殊字符等的文件上傳。 下載文件1.避免輸入.web.2.修改命名后綴。 異常管理測(cè)試 1、是否向用戶公開了過(guò)多的異常信息。 2、異常管理不恰當(dāng)?shù)漠惓Ｌ幚頊y(cè)試方法1）在網(wǎng)頁(yè)操作或鍵入非法的時(shí)