安全性测试 安全性测试 安全性测试主要是测试系统在没有授权的内部或者外部用户对系统进行攻击或者恶意破坏时如何进行处理,是否仍能保证数据和页面的安全。测试人员可以学习一些黑客技术,来对系统进行攻击。另外,对操作权限的测试也包含在安全性测试中。具体测试内容如下: 执行添加、删除、修改等动作中是否做过登录检测。 退出系统之后的操作是否可以完成。 所有插入表单操作中输入特殊字符是否可以正常输正常存储,特殊字符为:!?#¥%„„—*()~——-+=[]{}、|;:‘”?/《》<>,。 在带有参数的回显数据的动作中更改参数,把参数改为特殊字符并加入操作语句看是否出错。 测试表单中有没有做标签检测,标签检测是否完整。 在插入表单中加入特殊的HTML代码,例如:。 系统安全性测试的十个重要问题 1:没有被验证的输入 测试方法: 数据类型(字符串,整型,实数,等) 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否允许 数值范围 特定的值(枚举型) 安 全 性 测 试 特 定 的 模 式 ( 正 则 表 达 式 ) 2:有 问 题 的 访 问 控 制 测 试 方 法 : 主 要 用 于 需 要 验 证 用 户 身 份 以 及 权 限 的 页 面 , 复 制 该 页 面 的 url 地 址 , 关 闭 该 页 面 以 后 , 查看 是 否 可 以 直 接 进 入 该 复 制 好 的 地 址 ; 例 : 从 一 个 页 面 链 到 另 一 个 页 面 的 间 隙 可 以 看 到 URL地 址 , 直 接 输 入 该 地 址 , 可 以 看 到 自 己没 有 权 限 的 页 面 信 息 ; 3:错 误 的 认 证 和 会 话 管 理 分 析 : 帐 号 列 表 : 系 统 不 应 该 允 许 用 户 浏 览 到 网 站 所 有 的 帐 号 , 如 果 必 须 要 一 个 用 户 列 表 ,推 荐 使 用 某 种 形 式 的 假 名 ( 屏 幕 名 ) 来 指 向 实 际 的 帐 号 。 浏 览 器 缓 存 : 认 证 和 会 话 数 据 作 为 GET 的 一 部 分 来 发 送 认 证 和 会 话 数 据 不 应 该 作 为 GET的 一 部 分 来 发 送, 应 该 使 用 POST, 例 : 对Grid、Label、Tree view类的 输 入 框未作 验 证 , 输 入...
