性能和安全系統(tǒng)性測試地主要測試內(nèi)容

文檔文檔性能測試的主要測試內(nèi)容是什么？軟件測試基準(zhǔn)測試：比較新的或未知測試對象與已知參照標(biāo)準(zhǔn)（如現(xiàn)有軟件或評測標(biāo)準(zhǔn)）的性能。爭用測試：核實測試對象對于多個主角對相同資源（數(shù)據(jù)記錄、內(nèi)存等）的請求的處理是否可以接受。性能配置：核實在操作條件保持不變的情況下，測試對象在使用不同配置時其性能行為的可接受性。負(fù)載測試（LoadTest）-是一種性能測試，指數(shù)據(jù)在超負(fù)荷環(huán)境中運行，程序是否能夠承擔(dān)。核實在保持配置不變的情況下，測試對象在不同操作條件（如不同用戶數(shù)、事務(wù)數(shù)等）下性能行為的可接受性。強度測試StressTesting-核實測試對象性能行為在異常或極端條件（如資源減少或用戶數(shù)過多）之下的可接受性。強度測試在系統(tǒng)資源特別低的情況下軟件系統(tǒng)運行情況，目的是找到系統(tǒng)在哪里失效以及如何失效的地方。強度測試包括：Spiketesting：短時間的極端負(fù)載測試Extremetesting:在過量用戶下的負(fù)載測試Hammertesting:連續(xù)執(zhí)行所有能做的操作容量測試（VolumeTest）:確定系統(tǒng)可處理同時在線的最大用戶數(shù)關(guān)注點：howmuch（而不是howfast）容量測試，通常和數(shù)據(jù)庫有關(guān)，容量和負(fù)載的區(qū)別在于:容量關(guān)注的是大容量，而不需要表現(xiàn)實際的使用。安全性測試的內(nèi)容一個完整的WEB安全性測試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗證、身份驗證、授權(quán)、配置管理、敏感數(shù)據(jù)、會話管理、加密。參數(shù)操作、異常管理、審核和日志記錄等幾個方面入手。安全體系測試1）部署與基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)是否提供了安全的通信部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么目標(biāo)環(huán)境支持怎樣的信任級別輸入驗證如何驗證輸入是否清楚入口點是否清楚信任邊界是否驗證Web頁輸入是否對傳遞到組件或Web服務(wù)的參數(shù)進行驗證是否驗證從數(shù)據(jù)庫中檢索的數(shù)據(jù)是否將方法集中起來是否依賴客戶端的驗證應(yīng)用程序是否易受SQL注入攻擊應(yīng)用程序是否易受XSS攻擊如何處理輸入身份驗證是否區(qū)分公共訪問和受限訪問是否明確服務(wù)帳戶要求如何驗證調(diào)用者身份如何驗證數(shù)據(jù)庫的身份是否強制試用帳戶管理措施4)授權(quán)如何向最終用戶授權(quán)如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序如何將訪問限定于系統(tǒng)級資源配置管理是否支持遠(yuǎn)程管理是否保證配置存儲的安全是否隔離管理員特權(quán)敏感數(shù)據(jù)是否存儲機密信息如何存儲敏感數(shù)據(jù)是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)是否記錄敏感數(shù)據(jù)會話管理如何交換會話標(biāo)識符是否限制會話生存期如何確保會話存儲狀態(tài)的安全8)加密為何使用特定的算法如何確保加密密鑰的安全性9)參數(shù)操作是否驗證所有的輸入?yún)?shù)是否在參數(shù)過程中傳遞敏感數(shù)據(jù)是否為了安全問題而使用HTTP頭數(shù)據(jù)10)異常管理是否使用結(jié)構(gòu)化的異常處理是否向客戶端公開了太多的信息11)審核和日志記錄是否明確了要審核的活動是否考慮如何流動原始調(diào)用這身份應(yīng)用及傳輸安全WEB應(yīng)用系統(tǒng)的安全性從使用角度可以分為應(yīng)用級的安全與傳輸級的安全，安全性測試也可以從這兩方面入手。應(yīng)用級的安全測試的主要目的是查找Web系統(tǒng)自身程序設(shè)計中存在的安全隱患，主要測試區(qū)域如下。注冊與登陸：現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊，后登錄的方式。A.必須測試有效和無效的用戶名和密碼要注意是否存在大小寫敏感，可以嘗試多少次的限制是否可以不登錄而直接瀏覽某個頁面等。在線超時：Web應(yīng)用系統(tǒng)是否有超時的限制，也就是說，用戶登陸一定時間內(nèi)（例如15分鐘）沒有點擊任何頁面，是否需要重新登陸才能正常使用。操作留痕：為了保證Web應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要的。需要測試相關(guān)信息是否寫進入了日志文件，是否可追蹤。備份與恢復(fù)：為了防范系統(tǒng)的意外崩潰造成的數(shù)據(jù)丟失，備份與恢復(fù)手段是一個Web系統(tǒng)的必備功能。備份與恢復(fù)根據(jù)Web系統(tǒng)對安全性的要求可以采用多種手段，如數(shù)據(jù)庫增量備份、數(shù)據(jù)庫完全備份、系統(tǒng)完全備份等。出于更高的安全性要求，某些實時系統(tǒng)經(jīng)常會采用雙機熱備或多級熱備。除了對于這些備份與恢復(fù)方式進行驗證測試以外，還要評估這種備份與恢復(fù)方式是否滿足Web系統(tǒng)的安全性需求。傳輸級的安全測試是考慮到Web系統(tǒng)的傳輸?shù)奶厥庑?，重點測試數(shù)據(jù)經(jīng)客戶端傳送到服務(wù)器端可能存在的安全漏洞，以及服務(wù)器防范非法訪問的能力。一般測試項目包括以下幾個方面。HTTPS和SSL測試：默認(rèn)的情況下，安全HTTP(SoureHTTP)通過安全套接字SSL(SourceSocketLayer)協(xié)議在端口443上使用普通的HTTP。HTTPS使用的公共密鑰的加密長度決定的HTTPS的安全級別，但從某種意義上來說，安全性的保證是以損失性能為代價的。除了還要測試加密是否正確，檢查信息的完整性和確認(rèn)HTTPS的安全級別外，還要注意在此安全級別下，其性能是否達(dá)到要求。服務(wù)器端的腳本漏洞檢查：存在于服務(wù)器端的腳本常常構(gòu)成安全漏洞，這些漏洞又往往被黑客利用。所以，還要測試沒有經(jīng)過授權(quán)，就不能在服務(wù)器端放置和編輯腳本的問題。防火墻測試：防火墻是一種主要用于防護非法訪問的路由器，在Web系統(tǒng)中是很常用的一種安全系統(tǒng)。防火墻測試是一個很大很專業(yè)的課題。這里所涉及的只是對防火墻功能、設(shè)置進行測試，以判斷本W(wǎng)eb系統(tǒng)的安全需求。另推薦安全性測試工具：WatchfireAppScan：商業(yè)網(wǎng)頁漏洞掃描器(此工具好像被IBM收購了，所