安全測試及B S C S安全性比較

2022-05-02 18:42:14 字數 3305 閱讀 1002

一、使用者認證安全的測試要考慮問題:

1.        明確區分系統中不同使用者許可權

2.        系統中會不會出現使用者衝突

3.        系統會不會因使用者的許可權的改變造成混亂

4.        使用者登陸密碼是否是可見、可複製

5.        是否可以通過絕對途徑登陸系統(拷貝使用者登陸後的鏈結直接進入系統)

6.        使用者退出系統後是否刪除了所有鑑權標記,是否可以使用後退鍵而不通過輸入口令進入系統

7.        登陸失敗次數的限制,防止暴力破解

8.        輸入的賬戶密碼不能有含特殊意義的符號或命令語句

9.        設定新密碼之後,舊密碼是否有效

10.      cookie中是否儲存使用者名稱密碼,如果儲存要加密

11.      防止sql注入

12.      密碼不能明文傳輸

13.      日誌和資料庫中是否記錄明文密碼

14.      網頁出錯時,不洩露敏感資料

15       頁面超時機制的驗證

二、系統網路安全的測試要考慮問題:

1.        測試採取的防護措施是否正確裝配好,有關系統的補丁是否打上

2.        模擬非授權攻擊,看防護系統是否堅固

3.        採用成熟的網路漏洞檢查工具檢查系統相關漏洞(即用最專業的黑客攻擊工具攻擊試一下,現在最常用的是nbsi系列和iphacker ip)

4.        採用各種木馬檢查工具檢查系統木馬情況

5.        採用各種防外掛程式工具檢查系統各組程式的客外掛程式漏洞

三、資料庫安全考慮問題:

1.        系統資料是否機密(比如對銀行系統,這一點就特別重要,一般的**就沒有太高要求)

2.        系統資料的完整性(我剛剛結束的企業實名核查服務系統中就曾存在資料的不完整,對於這個系統的功能實現有了障礙)

3.        系統資料可管理性

4.        系統資料的獨立性

5.        系統資料可備份和恢復能力(資料備份是否完整,可否恢復,恢復是否可以完整)

b/s與c/s安全性比較

很多使用者在提到b/s架構設計的系統後, 第乙個疑惑就是,.這個軟體安全嗎?為什麼使用者會有這樣的疑惑,因為b/s架構放在internet上後,只要有ie瀏覽器的電腦都可以訪問這個系統.而c/s架構只有安裝了特定client軟體的使用者才可以使用本系統,所以一直以來我們的使用者都在擔心著b/s的安全問題.而業內一些c/s的支持者也一直把b/s的安全問題作為乙個不休的話題一直在討論著.只能說這樣的討論非常無聊,我並不反對c/s有很多優點.但是從安全角度分析,b/s遠遠高於c/s

1 前面我們講到"c/s架構只有安裝了特定client軟體的使用者才可以使用本系統",正因為在使用者的電腦上安裝了client所以這個系統就面臨著程式被分析,資料被擷取的安全隱患,因為所有的資料必須從server讀到client然後進行操作,而b/s所有的資料操作全部在server上進行在client只是post乙個html**

2 目前很多傳統的c/s系統還是採用2層結構也就是說所有的client直接讀取server中的資料,在client端包括了資料的使用者名稱\密碼等致命的資訊,難道這樣的系統安全嗎?如果這樣的系統放在internet上,那麼這個server面向任何連線上internet的使用者都是開放的,而b/s架構的系統,在client上沒有任何資訊.面向使用者開放的也只是webserber,而真正儲存我們資料的資訊全部在dataserver上,這個dataserver完全可以不放在internet上,也只能讓我們指定的webserver來訪問.

3 當然現在也流行一種3層架構的c/s系統,但是我想問的是,你做的中介軟體要比microsoft 寫的iis 更安全嗎?目前有很多截資料報分析的各種手段,bs 可以使用https 加密來解決。但是你的c/s 伺服器有考慮過這問題嗎?你說你加密了資料,你加密的比https 還好嗎? 你沒有加密,那就是明文的,隨便找乙個sniff 監聽軟體就可以把資料截下來。

還有乙個觀點:b/s不如c/s
c/s:可以使用多種網路協議,甚至可以自定義協議,從這個角度來看,c/s的安全性是有保障的。又因為它是基於客服端的,不容易被病毒攻擊,但c/s太不方便(主要是不便於資料共享)不便於隨時與使用者交流,這也是c/s的乙個致命缺點。並且c/s結構軟體在保護資料的安全性方面有著先天的弊端。由於c/s結構軟體的資料分布特性,客戶端所發生的火災、盜搶、**、病毒等都將成為可怕的資料殺手。

b/s:b/s相對c/s而言更容易被病毒光顧,使用http協議,雖然最新的https協議在安全性方面有所提公升,但還是弱於c/s。

對比之後,覺得這是無謂之爭。。。先掃門前雪,把自己的產品安全性高最重要。

b/s與c/s安全測試重點比較

b/s結構

一般的b/s

結構,都是多層架構的,有介面層、業務邏輯層、資料層。由於這種結構不需要客戶端的安裝,客戶端主要通過瀏覽器來訪問,因此客戶端測試的重點是:客戶端瀏覽器(不同型別和版本)以及客戶端配置(

cookie

設定和解析度設定)等測試。除客戶端測試外,根據

web系統常用技術還需要關注以下幾個方面的測試:

(1)鏈結測試

(2)表單測試

(3)指令碼測試(4)

activex控制項測試

c/s(client/server)結構

即大家熟知的客戶機和伺服器結構。它是軟體系統體系結構,通過它可以充分利用兩端硬體環境的優勢,將任務合理分配到client端和server端來實現,降低了系統的通訊開銷。這種結構與b/s

最顯著的區別是需要安裝客戶端,通過客戶端程式來訪問應用系統,因此

c/s客戶端測試是重點,並且與

b/s結構有所不同。

c/s客戶端測試的重點有:

(1)客戶端安裝測試

ø 安裝手冊的評估

ø 安裝的自動化程度

ø 安裝選項和設定得測試

ø 安裝過程的中斷測試

ø 安裝順序測試

ø 多環境安裝測試

ø 安裝的正確性測試

ø 修復安裝測試

ø 解除安裝安裝測試

(2)客戶端公升級測試

ø 與變更相關的測試

ø 變更內容的測試

(3)客戶端與伺服器鏈結測試

(4)伺服器端資料驗證

(5)客戶端可維護性測試

安全性測試

1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...

mysql安全性試驗 Mysql安全性測試

一 沒有進行預處理的sql語句 1.連線資料庫 conn mysql connect 127.0.0.1 3306 root 518666 if conn die could not connect mysql error 2.選擇資料庫 mysql select db mysql safe con...

安全性測試方法

安全性測試方法採用訪談 檢查 測試三種基本的方法並按照提供的系統安全解決方案,結合功能測試和安全性測試工具完成,最終通過安全性測試結果對系統整體安全體系進行評估。1 訪談。主要是通過與技術開發和管理人員交流和訪談等,獲取相關安全測試的證據。2 檢查。包括文件查閱和現場核查,文件查閱通過檢查技術及管理...