安全性測試總結(jié)范文.doc

安全性測試總結(jié)范文 安全性測試安全性測試簡介軟件安全屬于軟件領(lǐng)域里一個重要的子領(lǐng)域。 軟件安全一般分為兩個層次，即應(yīng)用程序級別的安全性和操作系統(tǒng)級別的安全性。 應(yīng)用程序級別的安全性，包括對數(shù)據(jù)或業(yè)務(wù)功能的訪問，在預(yù)期的安全性情況下，操作者只能訪問應(yīng)用程序的特定功能、有限的數(shù)據(jù)等。 本文所講的軟件安全主要是應(yīng)用程序?qū)拥陌踩?，包括兩個層面是應(yīng)用程序本身的安全性。 一般來說，應(yīng)用程序的安全問題主要是由軟件漏洞導(dǎo)致的，這些漏洞可以是設(shè)計上的缺陷或是編程上的問題，甚至是開發(fā)人員預(yù)留的后門。 是應(yīng)用程序的數(shù)據(jù)安全，包括數(shù)據(jù)存儲安全和數(shù)據(jù)傳輸安全兩個方面。 常用的安全性測試一般來說，對安全性要求不高的軟件，其安全性測試可以混在單元測試、集成測試、系統(tǒng)測試里一起做。 但對安全性有較高需求的軟件，則必須做專門的安全性測試，以便在破壞之前預(yù)防并識別軟件的安全問題。 安全項目測試方法預(yù)期結(jié)果備注輸入驗證非法輸入錯誤頁面跳轉(zhuǎn)身份驗證用戶名和密碼匹配敏感數(shù)據(jù)截取敏感數(shù)據(jù)加密信息異常管理非法操作跳轉(zhuǎn)或提示日志記錄查看內(nèi)容關(guān)鍵活動腳本攻擊攻擊程序抵御敏感數(shù)據(jù)測試1)敏感數(shù)據(jù)在網(wǎng)絡(luò)傳遞時是否安全。 2)敏感數(shù)據(jù)是否被記錄。 3)敏感數(shù)據(jù)存儲是否安全。 腳本攻擊測試1)跨站腳本攻擊（XSS）。 2)SQL注入攻擊3)通過Cookie和Session進行的攻擊4)跨站點請求偽造（CSRF）等輸入驗證測試 1、輸入驗證輸入的數(shù)據(jù)沒有進行有效的控制和驗證測試方法1）輸入的數(shù)據(jù)類型（字符串、整型、實數(shù)等）；2）允許的字符集；3）最小和最大的長度；4）是否允許空輸入；5）參數(shù)是否是必須得；6）重復(fù)是否允許；7）數(shù)值范圍；8）特定的值（枚舉型）；9）特定的模式（正則表達式）。 身份驗證測試1)是否區(qū)分公共訪問和受限訪問。 2)身份認證方式存儲的方式是否安全。 3)身份認證級別要求是否安全。 身份驗證用戶名和密碼測試方法1）測試有效和無效的用戶名和密碼（用戶名和密碼中是否可以有空格或回車）；2）是否允許密碼和用戶名一致3）防止惡意注冊可否用自動填表工具自動注冊用戶4）要注意是否存在大小寫敏感；5）是否設(shè)置密碼最小長度6）是否有校驗碼7）密碼錯誤次數(shù)有無限制8）口令過期失效后，是否可以不登陸而直接瀏覽某個頁面關(guān)于URL1)某些需登錄后或特殊用戶才能進入的頁面,是否可以通過直接輸入網(wǎng)址的方式進入2)對于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯,是否可以非法進入某些頁面；3.搜索頁面等url中含有關(guān)鍵字的,輸入html代碼或JavaScript看是否在頁面中顯示或執(zhí)行。 身份驗證不安全的存儲測試方法1）在頁面輸入密碼，頁面應(yīng)顯示“*”；2）數(shù)據(jù)庫中存的密碼應(yīng)經(jīng)過加密；3）地址欄中不可以看到剛才填寫的密碼；4）右鍵查看源文件不能看見剛才輸入的密碼；5）帳號列表系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號，如果必須要一個用戶列表，推薦使用某種形式的假名（屏幕名）來指向?qū)嶋H的帳號登錄操作時間的失效性Web應(yīng)用系統(tǒng)是否有超時的限制，用戶登陸一定時間內(nèi)沒有點擊任何頁面，是否需要重新登陸才能正常使用）如，用戶登錄后在一定時間內(nèi)（例如10分鐘）沒有點擊任何頁面，是否需要重新登陸才能正常使用。 測試方法1）檢測系統(tǒng)是否支持操作失效時間的配置，同時達到所配置的時間內(nèi)沒有對界面進行任何操作時，檢測系統(tǒng)是否會將用戶自動失效，需要重新登錄系統(tǒng)2）支持操作失效時間的配置3）支持當用戶在所配置的時間內(nèi)沒有對界面進行任何操作則該應(yīng)用自動失效。 授權(quán)直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問測試方法1）沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址，能直接打開頁面；2）注銷后，點瀏覽器上的后退，可以進行操作；3）正常登錄后，直接輸入自己沒有權(quán)限查看的頁面的網(wǎng)址，可以打開頁面；4）從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯誤的）。 5）用戶登錄是否有次數(shù)限制？是否限制從某些IP地址登錄？上傳文件測試方法1）上傳文件要有大小的限制2）上傳木馬病毒等；3）上傳文件最好要有格式的現(xiàn)在。 舉例關(guān)于上傳1.上傳文件是否有格式限制,是否可以上傳exe文件；2.上傳文件是否有大小限制,上傳太大的文件是否導(dǎo)致異常錯誤,上傳0K的文件是否會導(dǎo)致異常錯誤,上傳并不存在的文件是否會導(dǎo)致異常錯誤；3.通過修改擴展名的方式是否可以繞過格式限制，是否可以通過壓包方式繞過格式限制；4.是否有上傳空間的限制,是否可以超過空間所限制的大小,如將超過空間的大文件拆分上傳是否會出現(xiàn)異常錯誤。 5.上傳文件大小大于本地剩余空間大小，是否會出現(xiàn)異常錯誤。 6.關(guān)于上傳是否成功的判斷。 上傳過程中，中斷。 程序是否判斷上傳是否成功。 7.對于文件名中帶有中文字符，特殊字符等的文件上傳。 下載文件1.避免輸入.web.2.修改命名后綴。 異常管理測試 1、是否向用戶公開了過多的異常信息。 2、異常管理不恰當?shù)漠惓Ｌ幚頊y試方法1）在網(wǎng)頁操作或鍵入非法的時