4.7 可用性测试.ppt

4.7 可用性测试 屏幕分辨率 画布尺寸 界面整体效果 4.8 安全性测试 物理环境的安全性（物理层安全） 操作系统的安全性（系统层安全） 网络的安全性（网络层安全） 应用的安全性（应用层安全） 管理的安全性（管理层安全） 4.8.1系统层安全测试 测试操作系统配置安全性的某些主要问题： 不必要的用户帐号 文件和目录权限、特别是关键的配置文件 网络磁盘卷，如网络文件服务（Network File Service ，NFS）或Windows共享目录 日志文件 注册表 不必要的后台处理 口令策略 4.8.2网络安全层测试 Internet中，主机之间传输的数据的安全性 这类测试过程中，主要是在数据通信和数据交互过程中，对数据进行截取分析，目前最为流行的是网络数据包的捕获技术，通常我们称为Capture，利用该技术我们可以测试网络数据加密效果 企业内部局域网防火强安全性 WinGate为例。黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。 4.8.2网络安全层测试 WinGate 非授权Web访问 。测试WinGate主机是否有这种安全漏洞的方法如下： 以一个不会被过滤掉的连接（譬如说拨号连接）连接到因特网上。 把浏览器的代理服务器地址指向待测试的WinGate主机。 如果浏览器能访问到因特网，则WinGate主机存在着非授权Web访问漏洞。 4.8.2网络安全层测试 WinGate 非授权Socks访问。在WinGate的缺省配置中，Socks代理（1080号Tcp端口）同样是存在安全漏洞。与打开的Web代理（80号Tcp端口）一样，外部攻击者可以利用Socks代理访问因特网。 非授权Telnet访问。测试WinGate主机是否有这种安全漏洞的方法如下： 使用telnet尝试连接到一台WinGate服务器。 如果接受到如上的响应文本，那就输入待连接到的网站。 如果看到了该新系统的登录提示符，那么该服务器是脆弱的。 4.8.3应用安全层测试 身份验证 权限管理（三维） 内容攻击 缓冲区溢出 身份验证 HTTP基本身份验证 系统登录/定制的身份验证表单 权限管理 功能权限 数据对象权限 时间权限 内容攻击 例子 System(“echo;cp /etc/passwd /home/ftp/pub ;echo gocha! tmpfile”) 缓冲区溢出 一些常见的容易出现缓冲区溢出的地方包括 : URL末尾的参数 命令行的参数 文件内容 网络包 简单的用户输入 HTTP头（内容不能多于32个字节） 解析器—特别是当它们查找特定字符或后字符串作为触发器时，更容易出错 4.9 指标/协议测试 标准/协议测试的测试依据是我国已经发布的信息技术产品强制性标准、推荐性标准等相关国家标准或行业标准，尽管不同行业依据的标准本身可能千差万变， 但从内容来分，主要分为以下几类: 数据内容标准测试 通信协议标准测试 字符集和代码页测试 4.9.1数据内容标准测试 数据内容标准主要描述数据交换与互操作的数据格式或内容规范。例如中华人民共和国教育部颁发的《教育管理信息化标准》（第1部分《学校管理信息标准》），它包括与学校管理有关的信息集与代码集两部分。关于信息集的测试，主要测试信息数据库表的表名称、字段名称、字段类型及长度是否符合标准。关于代码集的测试，主要测试被测试代码数据表中的代码编号、代码名称是否符合标准，如课程代号，专业代号。 4.9.2通信协议标准测试 通信协议标准主要描述数据传输的帧格式、数据编码及传输规则。 例子:《电力负荷管理系统数据传输规约》，分别定义了电力负荷管理系统中主站和终端之间的信息传递。主要测试内容是帧的格式、内容和编码规则。 4.9.2通信协议标准测试 4.9.2通信协议标准测试 测试点: 发送或接收报文合法性,包括帧格式、长度、编码规则 报文正常解析 4.10安装和卸载测试—安装和卸载程序的作用 安装性测试的目的就是验证成功安装系统的能力。安装程序错误可能源于以下几个方面： 环境变量的检测和解释（比如，有多少可用磁盘空间？） 文件复制 系统和环境配置 软件和硬件不兼容 后台噪声。例如病毒检查程序，它运行于后台，可能以多种途径对安装进行干扰。 4.10安装和卸载测试 —安装和卸载程序的作用 安装过程中要执行的一系列动作： 从源主机上执行安装程序。 登录目的主机。 询问目的主机以获得其环境信息。 基于从用户环境和用户选择的安装选项（比如完全安装、最小安装或者自定义安装）等处收集的信息安装软件组件。 解压缩文件（RAR或ZIP）。 搜