一、用户认证安全的测试:
1、明确区分系统中不同用户权限
2、系统中会不会出现用户冲突
3、系统会不会因用户的权限的改变造成混乱
4、用户登陆密码是否是可见、可复制
5、是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统)
6、用户退出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统
二、系统网络安全的测试
1、测试采取的防护措施是否正确装配好,有关系统的补丁是否打上
2、模拟非授权攻击,看防护系统是否坚固
3、采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是 NBSI 系列和 IPhacker IP )
4、采用各种木马检查工具检查系统木马情况
5、采用各种防外挂工具检查系统各组程序的客外挂漏洞
三、 数据库安全测试:
1、系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求)
2、系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整,对于这个系统的功能实现有了障碍)
3、系统数据可管理性
4、系统数据的独立性
5、系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)
软件测试如何做安全性检查呢,比如输入什么特殊字符
针对应用安全(网站类型)
第一步 收集信息,你需要了解,一般有多少个url地址及页面、请求的情况等等(一般在你完成功能测试后,已经知道了)
第二步 分层检查 简单的来的话,分2层,页面层,针对输入框进行跨站、SQL注入等字符的进行检查,这是比较常规的方式,在完成这个一个层面的检查后,你可以针对请求层来进行检查,一般问题是出在隐藏的传递属性上,因为,开发常规会对输入的参数进行前后台字符校验,而对于默认的传递参数会忽略掉,而这就是漏洞的所在
第三步 猜测性测试,这种方法主要是针对服务中间件的测试,我们会根据IIS、weblogic、apache等应用中间件的默认响应页面进行猜测,还有一些错误信息页面,比如黄页中的信息,这些都是应该避免
这样的方式比较繁琐和复杂,当然如果有相关的测试工具话 相对可以比较快捷一点,首先它能帮助我们完成信息收集和第一轮的安全检查,根据其的报告,我们可以深入的进行更深层次的安全检查,提高我们的测试效率。
有没有什么软件可以测试自身系统的安全性啊?
瑞星放火墙不是有一个系统漏洞检测程序么
那可以检测到你的系统漏洞以及安全设置
软件安全性测试有哪些方面
设计安全,比如密码是不是明文、数据库连接是不是加密了
漏洞扫描,可以用IBM Appscan模拟攻击,查看系统漏洞
还可以结合硬件环境进行安全性测试,比如防火墙、数据库服务器位置等等
软件测试中,兼容性测试,安全性测试什么的属于模块吗?
兼容性测试属于验收测试模块 ,安全性测试属于系统测试模块
软件测试一般分为4个模块:
单元测试:单元测试是对软件中的基本组成单位进行的测试。目的是检验软件基本组成单位的正确性。
集成测试:集成测试是在软件系统集成过程中所进行的测试。目的是检查软件单位之间的接口是否正确。
系统测试:系统测试是对已经集成好的软件系统进行彻底的测试,以验证软件系统的正确性和性能等是否满足其规约所指定的要求。
验收测试:验收测试是部署软件之前的最后一个测试操作。验收测试的目的是确保软件准备就绪,向软件购买都展示该软件系统满足其用户的需求。
「软件测试」如何进行APP安全性测试
一、前言
在SDK最近的项目中上线的包被第三方杀毒软件报出有病毒的问题,后来经过查验发现是SDK悬浮窗动画的逻辑被检验出有病毒,最后进行了修改。事情虽然解决了,但是引起该问题的一个原因是在测试中没有安全测试,而安全测试的标准,方法都没有。因此今天将之前工作中参与过的安全测试以及从网上查阅到有关安全测试的资料进行整理。有不足的之处,尽情谅解。
二、软件权限
1)扣费风险:浏览网页,下载,等情况下是否会扣费,一般在游戏APP,和社交APP等需要考虑这些。
2)隐私泄露风险。例如在我们安装APP应用时通常会看到"xx要读取手机通讯录"等提示,这些提示可以提示用户拒绝接受,这些是APP测试中的测试点。
3)校验input输入。对于APP有输入框的要对输入的信息进行校验,比如密码不能显示明文。在测试中红人馆注册时需要对input进行测试。
4)限制/允许使用手机功能接人互联网,收发信息,启动应用程序,手机拍照或者录音,读写用户数据。这个在通信行业用的比较多,比如展讯,高通等芯片厂商,他们在出厂芯片时要对手机各个功能进行测试。
三、代码安全性
之所以单独拿出来说,是因为在SDK测试过程中SDK代码被第三方工具检测出游病毒代码,这样一来就会影响输入法的使用。因此在后续测试中要尝试加入安全性测试。
四、安装与卸载安全性
1)应用程序应能正确安装到设备驱动程序上
2)能够在安装设备驱动程序上找到应用程序的相应图标。在SDK测试项目中发现有些设备受权限的问题,无法下发图标创建快链。
3)是否包含数字签名信息。在SDK测试项目中基本上没有,但是在输入法打包和主线版本上存在这样的测试。
4)安装路径应能指定
5)没有用户的允许应用程序不能预先设定自动启动
6)卸载是否安全,其安装进去的文件是否全部卸载
7)卸载用户使用过程中产生的文件是否有提示
8)其修改的配置信息是否复原
9)卸载是否影响其他软件的功能
10)卸载应该移除所有的文件
11)安装包的存放。在SDK下载安装包的测试中我们经常会看到下载下来的包后面有四个随机的字符串,这个的目的是为了防止第三方工具恶意删除安装包的问题。
在SDK测试项目中有专门针对下载安装卸载的用例,对安装的路径和下载的文件夹路径等有相关的测试,测试结果页表明,某些手机(例如华为mate1)在删除了某个下载路径文件夹之后受权限应用不会自动创建。
五、数据安全性
1)当将密码或其他的敏感数据输人到应用程序时,其不会被储存在设备中,同时密码也不会被解码
2)输人的密码将不以明文形式进行显示
3)密码,信用卡明细,或其他的敏感数据将不被储存在它们预输人的位置上
4)不同的应用程序的个人身份证或密码长度必需至少在4一8个数字长度之间
5)当应用程序处理信用卡明细,或其他的敏感数据时,不以明文形式将数据写到其它单独的文件或者临时文件中。以防止应用程序异常终止而又没有删除它的临时文件,文件可能遭受人侵者的袭击,然后读取这些数据信息。
6)当将敏感数据输人到应用程序时,其不会被储存在设备中
7)备份应该加密,恢复数据应考虑恢复过程的异常通讯中断等,数据恢复后再使用前应该经过校验
8)应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全警告
9)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告,更不能在安全警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导用户
10)在数据删除之前,应用程序应当通知用户或者应用程序提供一个"取消"命令的操作
11)"取消"命令操作能够按照设计要求实现其功能
12)应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况
13)当进行读或写用户信息操作时, 应用程序将会向用户发送一个操作错误的提示信息
14)在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容
15)应用程序读和写数据正确。
16)应用程序应当有异常保护。
17)如果数据库中重要的数据正要被重写,应及时告知用户
18)能合理地处理出现的错误
19)意外情况下应提示用户
20)HTTP、HTTPS覆盖测试。在测试中我们经常会遇到与请求的加密解密测试,以确保产品的安全性
手机应用\软件安全性测试
Sir, you said is Security testing.
There is a Security item in Settings which contains PIN and Phone lock.This is one test point for phone security tesing. E.g. input wrong pin code and phone lock code.
For Android system, you could use below methods to test:
1. Log on https:// security webpage
2. For 流量,you could use connection manager to have a basic test.
转载请注明出处51数据库 » 软件系统安全性测试 软件的安全性应从哪几个方面去测试