安全性測試總結范文.doc_第1頁
安全性測試總結范文.doc_第2頁
安全性測試總結范文.doc_第3頁
安全性測試總結范文.doc_第4頁
安全性測試總結范文.doc_第5頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

安全性測試總結范文 安全性測試安全性測試簡介軟件安全屬于軟件領域里一個重要的子領域。 軟件安全一般分為兩個層次,即應用程序級別的安全性和操作系統(tǒng)級別的安全性。 應用程序級別的安全性,包括對數據或業(yè)務功能的訪問,在預期的安全性情況下,操作者只能訪問應用程序的特定功能、有限的數據等。 本文所講的軟件安全主要是應用程序層的安全,包括兩個層面是應用程序本身的安全性。 一般來說,應用程序的安全問題主要是由軟件漏洞導致的,這些漏洞可以是設計上的缺陷或是編程上的問題,甚至是開發(fā)人員預留的后門。 是應用程序的數據安全,包括數據存儲安全和數據傳輸安全兩個方面。 常用的安全性測試一般來說,對安全性要求不高的軟件,其安全性測試可以混在單元測試、集成測試、系統(tǒng)測試里一起做。 但對安全性有較高需求的軟件,則必須做專門的安全性測試,以便在破壞之前預防并識別軟件的安全問題。 安全項目測試方法預期結果備注輸入驗證非法輸入錯誤頁面跳轉身份驗證用戶名和密碼匹配敏感數據截取敏感數據加密信息異常管理非法操作跳轉或提示日志記錄查看內容關鍵活動腳本攻擊攻擊程序抵御敏感數據測試1)敏感數據在網絡傳遞時是否安全。 2)敏感數據是否被記錄。 3)敏感數據存儲是否安全。 腳本攻擊測試1)跨站腳本攻擊(XSS)。 2)SQL注入攻擊3)通過Cookie和Session進行的攻擊4)跨站點請求偽造(CSRF)等輸入驗證測試 1、輸入驗證輸入的數據沒有進行有效的控制和驗證測試方法1)輸入的數據類型(字符串、整型、實數等);2)允許的字符集;3)最小和最大的長度;4)是否允許空輸入;5)參數是否是必須得;6)重復是否允許;7)數值范圍;8)特定的值(枚舉型);9)特定的模式(正則表達式)。 身份驗證測試1)是否區(qū)分公共訪問和受限訪問。 2)身份認證方式存儲的方式是否安全。 3)身份認證級別要求是否安全。 身份驗證用戶名和密碼測試方法1)測試有效和無效的用戶名和密碼(用戶名和密碼中是否可以有空格或回車);2)是否允許密碼和用戶名一致3)防止惡意注冊可否用自動填表工具自動注冊用戶4)要注意是否存在大小寫敏感;5)是否設置密碼最小長度6)是否有校驗碼7)密碼錯誤次數有無限制8)口令過期失效后,是否可以不登陸而直接瀏覽某個頁面關于URL1)某些需登錄后或特殊用戶才能進入的頁面,是否可以通過直接輸入網址的方式進入2)對于帶參數的網址,惡意修改其參數,(若為數字,則輸入字母,或很大的數字,或輸入特殊字符等)后打開網址是否出錯,是否可以非法進入某些頁面;3.搜索頁面等url中含有關鍵字的,輸入html代碼或JavaScript看是否在頁面中顯示或執(zhí)行。 身份驗證不安全的存儲測試方法1)在頁面輸入密碼,頁面應顯示“*”;2)數據庫中存的密碼應經過加密;3)地址欄中不可以看到剛才填寫的密碼;4)右鍵查看源文件不能看見剛才輸入的密碼;5)帳號列表系統(tǒng)不應該允許用戶瀏覽到網站所有的帳號,如果必須要一個用戶列表,推薦使用某種形式的假名(屏幕名)來指向實際的帳號登錄操作時間的失效性Web應用系統(tǒng)是否有超時的限制,用戶登陸一定時間內沒有點擊任何頁面,是否需要重新登陸才能正常使用)如,用戶登錄后在一定時間內(例如10分鐘)沒有點擊任何頁面,是否需要重新登陸才能正常使用。 測試方法1)檢測系統(tǒng)是否支持操作失效時間的配置,同時達到所配置的時間內沒有對界面進行任何操作時,檢測系統(tǒng)是否會將用戶自動失效,需要重新登錄系統(tǒng)2)支持操作失效時間的配置3)支持當用戶在所配置的時間內沒有對界面進行任何操作則該應用自動失效。 授權直接輸入需要權限的網頁地址可以訪問測試方法1)沒有登錄或注銷登錄后,直接輸入登錄后才能查看的頁面的網址,能直接打開頁面;2)注銷后,點瀏覽器上的后退,可以進行操作;3)正常登錄后,直接輸入自己沒有權限查看的頁面的網址,可以打開頁面;4)從權限低的頁面可以退回到高的頁面(如發(fā)送消息后,瀏覽器后退到信息填寫頁面,這就是錯誤的)。 5)用戶登錄是否有次數限制?是否限制從某些IP地址登錄?上傳文件測試方法1)上傳文件要有大小的限制2)上傳木馬病毒等;3)上傳文件最好要有格式的現(xiàn)在。 舉例關于上傳1.上傳文件是否有格式限制,是否可以上傳exe文件;2.上傳文件是否有大小限制,上傳太大的文件是否導致異常錯誤,上傳0K的文件是否會導致異常錯誤,上傳并不存在的文件是否會導致異常錯誤;3.通過修改擴展名的方式是否可以繞過格式限制,是否可以通過壓包方式繞過格式限制;4.是否有上傳空間的限制,是否可以超過空間所限制的大小,如將超過空間的大文件拆分上傳是否會出現(xiàn)異常錯誤。 5.上傳文件大小大于本地剩余空間大小,是否會出現(xiàn)異常錯誤。 6.關于上傳是否成功的判斷。 上傳過程中,中斷。 程序是否判斷上傳是否成功。 7.對于文件名中帶有中文字符,特殊字符等的文件上傳。 下載文件1.避免輸入.web.2.修改命名后綴。 異常管理測試 1、是否向用戶公開了過多的異常信息。 2、異常管理不恰當的異常處理測試方法1)在網頁操作或鍵入非法的時

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論