安全性指的是確保系統資訊保安的特性。安全性測試最基本的思路就是模擬系統可能遇到的各種攻擊,來確認系統是否存在安全漏洞。由於攻擊者沒有闖入的標準方法,因而也沒有實施安全性測試的標準方法。另外,安全性的範圍也是非常寬泛的,不同的系統對於安全性的定義和要求也不一樣,目前幾乎沒有可用的工具來徹底測試各個安全方面。
另外有一點很重要,應注意安全性測試並不最終證明應用程式是安全的。而是只用於驗證所設立對策的有效性,這些對策是基於威脅分析階段所做的假設而選擇的。一般c/s架構系統的安全性對策可以從以下一些方面構思:
1、欺騙身份:在身份驗證時竊取合法使用者密碼,然後模擬合法使用者訪問;
2、篡改資料:故意毀壞或運算元據
3、否認服務:否認系統已經提供某項服務,重複向系統提起請求,消耗系統資源;
4、資訊洩露:是否對一些敏感資訊進行了加密?會不會被無許可權的人獲取?
5、拒絕服務:通過通訊協議的一些漏洞,使系統通訊溢位,無法處理合法請求;
6、特權公升級:使用者是否能獲得不在其許可權範圍內的訪問
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...
面試題 客戶端的安全性與框架處理
1.客戶端安全處理方式 1 網路資料傳輸 敏感資料 賬號 密碼 消費資料 銀行卡賬號 不能明文傳送 2 協議的問題 自定義協議,遊戲代練 3 本地檔案儲存 遊戲的存檔 4 源 2.sip 是什麼 1 sip session initiation protocol 會話發起協議 2 sip是建立voi...
軟體測試 之 移動端測試 安全性測試
軟體測試 之 移動端測試 安全性測試軟體許可權 1 扣費風險 包括傳送簡訊 撥打 連線網路等 2 隱私洩露風險 包括訪問手機資訊 訪問聯絡人資訊等 4 限制 允許使用手機功能接人網際網路 5 限制 允許使用手機傳送接受資訊功能 6 限制 允許應用程式來註冊自動啟動應用程式 7 限制或使用本地連線 8...