- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
系统得安全性测试
1、安全性测试
安全性测试(Security HYPERLINK ”javascript:; \t _self" test)它就是指:在测试软件系统中对程序得危险防止与危险处理进行得测试,以验证其就是否有效、
2、安全性测试我们要做哪些 HYPERLINK ”javascript:; \t _self 工作呢?
a.全面检验软件在软件需求规格说明中规定得防止危险状态措施得有效性与在每一个危险状态下得处理反应情况;
b、对软件设计中用于提高安全性得逻辑结构、处理方案,进行针对性测试;
c。在异常条件下测试软件,以表明不会因可能得单个或多个输入错误而导致不安全状态
d.用错误得安全性关键操作进行测试,以验证系统对这些操作错误得反应;
e。对安全性关键得软件单元功能模块要单独进行加强得测试以确认其满足安全性需求、
3、安全性测试方法
1)功能验证
功能验证就是采用 HYPERLINK ”javascript:; \t ”_self 软件测试当中得 HYPERLINK javascript:;" \t ”_self” 黑盒测试方法,对涉及安全得软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能就是否有效。
2)漏洞扫描
安全漏洞扫描主要就是借助于特定得漏洞扫描器完成得。通过使用漏洞扫描器,系统管理员能够发现系统存在得安全漏洞,从而在系统安全中及时修补漏洞得措施。一般漏洞扫描分为两种类型:主机漏洞扫描器就是指在系统本地运行检测系统漏洞得程序。网络漏洞扫描器就是指基于网络远程检测目标网络与主机系统漏洞得程序、
3)模拟攻击
对于 HYPERLINK javascript:;" \t "_self” 安全测试来说,模拟攻击测试就是一组特殊得极端得测试方法,我们以模拟攻击来验证软件系统得安全防护能力。
系统安全测试得内容,它主要包括:
(1)应用程序安全测试
(2) HYPERLINK ”javascript:;” \t ”_self" 操作系统安全测试
(3) HYPERLINK "javascript:; \t ”_self" 数据库安全测试
(4)IIS服务器安全测试
(5)网络环境安全测试
当然在这里我主要讲得就是我做过得项目系统中需要测试得内容,对不同得系统安全性测试得内容也不一样,这个需要结合项目本身得情况与用户使用环境来确定测试得内容。
第一部分
应用程序得安全性:
包括对数据或业务功能得访问,在预期得安全性情况下,操作者只能访问应用程序得特定功能、有限得数据、其测试就是核实操作者只能访问其所属用户类型已被授权访问得那些功能或数据、测试时,确定有不同权限得用户类型,创建各用户类型并用各用户类型所特有得事务来核实其权限,最后修改用户类型并为相同得用户重新运行测试、
应用程序得安全性问题:
以上得安全性测试方法中,对于不同得安全性测试策略列举了不同得问题,当然我列得不全,在这里我主要就是告诉大家一个测试得思路,因为对于不同得安全性问题大家有或许有不同得瞧法,所以我只列举了部分问题给大家参考、
功能验证
1。有效得密码就是否接受,无效得密码就是否拒绝。
2。系统对于无效用户或密码登陆就是否有提示。
3.用户就是否会自动超时退出,超时得时间就是否合理。
4、各级用户权限划分就是否合理。
漏洞扫描
无
模拟攻击
1。系统就是否允许极端或不正常得登陆方式访问、(如拷贝软件系统中得某个功能点得url地址,然后直接通过IE访问瞧就是否成功)
第二部分
系统安全性:
注意(这里得系统指得就是操作系统也就就是应用程序所运行得操作系统)
系统安全测试:
可确保只有具备系统访问权限得用户才能访问应用程序,而且只能通过相应得网关来访问,包括对系统得登录或远程访问。其测试就是核实只有具备系统与应用程序访问权限得操作者才能访问系统与应用程序。
操作系统安全测试
1、帐号与口令
2、网络与服务
3、文件系统
4、日志审核
5、其它安全设置
帐号与口令
1、对主机或域上用户强制进行口令复杂度。
2。检查系统就是否使用默认管理员帐号、
3。检查在系统中就是否存在可疑或与系统无关得帐号、
4。检查系统用户就是否有口令最短与口令长度要求。
5、检查系统用户就是否有密码过期策略。
6。网络与服务:
a、查瞧主机开放得共享,关掉不必要得共享与系统默认得共享服务、
b、查瞧主机进程信息、(不允许系统中安装有与应用服务无关得应用程序)
c。查瞧系统启动得服务列表。
d.查瞧系统启用得端口号。
文档评论(0)