四 傳輸安全
五 與通常測試的區別
一 什麼是安全測試
安全測試是在軟體產品的生命週期過程中,對產品檢驗是否符合安全需求定義
二 安全測試的目的
提公升軟體產品的安全質量
盡量在發布前找到安全問題予以修補降低成本
電量安全
驗證安裝在系統內的保護機制能否在實際應用中對系統進行保護
使之不被非法入侵
三 怎麼做安全測試
3.1 乙個完整的安全性測試
從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感資料、會話管理、加密、引數操作、異常管理、審核和日誌記錄
3.2 部署與基礎結構
網路是否提供了安全的通訊,部署是否包括內部的防火牆,基礎結構安全性需求的限制是什麼,目標環境支援怎樣的信任級別
3.3 輸入驗證
如何驗證輸入,是否驗證web頁輸入,是否對傳遞到元件或web服務的引數進行驗證,是否驗證從資料庫中檢索的資料,是否依賴客戶端的驗證,應用程式是否易受sql注入攻擊,應用程式是否易受xss攻擊,如何處理輸入
3.4 身份驗證
是否區分公共訪問和受限訪問,如何驗證資料庫的身份
3.5 授權
如何向終端使用者授權,如何在資料庫中授權應用程式,如何將訪問限定於系統級資源
3.6 配置管理
是否保證配置儲存的安全
3.7 敏感資料
是否儲存機密資訊,如何儲存敏感資料,是否在網路中傳遞敏感資料,是否記錄敏感資料
3.8會話管理
是否限制會話生存期,如何確保會話儲存狀態的安全
3.9 加密
如何確保加密金鑰的安全性
3.10 引數操作
是否驗證所有的輸入引數,是否在引數過程中傳遞敏感資料,是否為了安全問題而使用http頭資料
3.11異常管理
是否使用結構化的異常處理,是否向客戶端公開了太多的資訊
四 傳輸安全
傳輸級的安全測試是考慮到web系統的傳輸的特殊性,重點測試資料經客戶端傳送到伺服器端可能存在的安全漏洞,以及伺服器防範非法訪問的能力
4.1 https和ssl
https和ssl測試:預設的情況下,安全http(soure http)通過安全套接字ssl(source socket layer)協議在埠443上使用普通的http
https使用的公共金鑰的加密長度決定的https的安全級別,安全性的保證是以損失效能為代價 的。除了要測試加密是否正確,檢查資訊的完整性和確認https的安全級別外,還要注意在此安全級別下,其效能是否達到要求
4.2 伺服器端的指令碼漏洞檢查
伺服器端的指令碼漏洞檢查:存在於伺服器端的指令碼常常構成安全漏洞,這些漏洞又往往被黑客利用
4.3 防火牆測試
防火牆測試:防火牆是一種主要用於防護非法訪問的路由器,在web系統中是很常用的一種安全系統
五 與通常測試的區別
5.1 目標不同
測試以發現bug為目標,安全測試以發現安全隱患為目標
5.2 假設條件不同
測試假設導致問題的資料是使用者不小心造成的,介面一般只考慮使用者介面。安全測試假設導致問題的資料是攻擊者處心積慮構造的,需要考慮所有可能的攻擊途徑
5.3 思考域不同
測試以系統所具有的功能為思考域。安全測試的思考域不但包括系統的功能,還有系統的機制、外部環境、應用與資料自身安全風險與安全屬性等
問題發現模式不同
測試以違反功能定義為判斷依據。安全測試以違反許可權與能力的約束為判斷依據
什麼是安全性測試
安全性測試 security testing 是有關驗證應用程式的安全服務和識別潛在安全性缺陷的過程。注意 安全性測試並不最終證明應用程式是安全的,而是用於驗證所設立策略的有效性,這些對策是基於威脅分析階段所做的假設而選擇的。web安全性測試 乙個完整的web安全性測試可以從部署與基礎結構 輸入驗證...
什麼是web安全性測試?
乙個完整的 web安全體系 可以從部署與基礎結構,輸入驗證,身份驗證,授權,配置管理,敏感資料,會話管理,加密,引數操作,異常管理,審核和 記錄等幾個方面入手 web安全性測試 資料加密 某些資料需要進行資訊加密和過濾後才能進行資料傳輸,例如使用者信用卡資訊 使用者登陸密碼資訊等。此時需要進行相應的...
什麼是冒煙測試?什麼是回歸測試?
一 什麼是冒煙測試?冒煙測試 smoke testing 是指 針對每個版本或每次需求變更之後,在正式測試之前,對產品或系統的一次簡單的驗證性測試,驗證產品或系統的 基本功能 流程是否正常。我們可以將冒煙測試理解為是在執行正式測試之前的 試 二 冒煙測試的目的是什麼?目的是確認軟體的基本功能正常,可...