什麼是安全測試

四傳輸安全

五與通常測試的區別

一什麼是安全測試

安全測試是在軟體產品的生命週期過程中，對產品檢驗是否符合安全需求定義

二安全測試的目的

提公升軟體產品的安全質量

盡量在發布前找到安全問題予以修補降低成本

電量安全

驗證安裝在系統內的保護機制能否在實際應用中對系統進行保護

使之不被非法入侵

三怎麼做安全測試

3.1 乙個完整的安全性測試

從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感資料、會話管理、加密、引數操作、異常管理、審核和日誌記錄

3.2 部署與基礎結構

網路是否提供了安全的通訊，部署是否包括內部的防火牆，基礎結構安全性需求的限制是什麼，目標環境支援怎樣的信任級別

3.3 輸入驗證

如何驗證輸入,是否驗證web頁輸入，是否對傳遞到元件或web服務的引數進行驗證，是否驗證從資料庫中檢索的資料，是否依賴客戶端的驗證，應用程式是否易受sql注入攻擊，應用程式是否易受xss攻擊，如何處理輸入

3.4 身份驗證

是否區分公共訪問和受限訪問,如何驗證資料庫的身份

3.5 授權

如何向終端使用者授權，如何在資料庫中授權應用程式，如何將訪問限定於系統級資源

3.6 配置管理

是否保證配置儲存的安全

3.7 敏感資料

是否儲存機密資訊，如何儲存敏感資料，是否在網路中傳遞敏感資料，是否記錄敏感資料

3.8會話管理

是否限制會話生存期，如何確保會話儲存狀態的安全

3.9 加密

如何確保加密金鑰的安全性

3.10 引數操作

是否驗證所有的輸入引數，是否在引數過程中傳遞敏感資料，是否為了安全問題而使用http頭資料

3.11異常管理

是否使用結構化的異常處理，是否向客戶端公開了太多的資訊

四傳輸安全

傳輸級的安全測試是考慮到web系統的傳輸的特殊性，重點測試資料經客戶端傳送到伺服器端可能存在的安全漏洞，以及伺服器防範非法訪問的能力

4.1 https和ssl

https和ssl測試：預設的情況下，安全http（soure http）通過安全套接字ssl（source socket layer）協議在埠443上使用普通的http

https使用的公共金鑰的加密長度決定的https的安全級別，安全性的保證是以損失效能為代價的。除了要測試加密是否正確，檢查資訊的完整性和確認https的安全級別外，還要注意在此安全級別下，其效能是否達到要求

4.2 伺服器端的指令碼漏洞檢查

伺服器端的指令碼漏洞檢查：存在於伺服器端的指令碼常常構成安全漏洞，這些漏洞又往往被黑客利用

4.3 防火牆測試

防火牆測試：防火牆是一種主要用於防護非法訪問的路由器，在web系統中是很常用的一種安全系統

五與通常測試的區別

5.1 目標不同

測試以發現bug為目標，安全測試以發現安全隱患為目標

5.2 假設條件不同

測試假設導致問題的資料是使用者不小心造成的，介面一般只考慮使用者介面。安全測試假設導致問題的資料是攻擊者處心積慮構造的，需要考慮所有可能的攻擊途徑

5.3 思考域不同

測試以系統所具有的功能為思考域。安全測試的思考域不但包括系統的功能，還有系統的機制、外部環境、應用與資料自身安全風險與安全屬性等

問題發現模式不同

測試以違反功能定義為判斷依據。安全測試以違反許可權與能力的約束為判斷依據

什麼是安全測試

什麼是安全性測試

什麼是web安全性測試？

什麼是冒煙測試？什麼是回歸測試？

什麼是安全測試

什麼是安全性測試

什麼是web安全性測試？

什麼是冒煙測試？什麼是回歸測試？

相關推薦