51Testing软件测试论坛

标题: 安全测试报告书写要点 [打印本页]

作者: 御影舞    时间: 2014-3-27 19:20
标题: 安全测试报告书写要点
第一章:安全测试背景
一:测试目的
二:测试对象(软件产品名称和版本号、测试时间、测试人员、测试地点等)
三:1、测试组网;
2、测试工具
第二章:测试用例执行结果
第三章:产品安全性质量评估
1、产品安全性总体质量评估
2、产品通用安全性测试
(1)端口扫描
(2)漏洞扫描
(3)协议健壮性
(4)web安全性
(5)数据库安全
3、产品安全性质量标准评估
(1)管道通用安全
(2)操作系统安全
(3)协议与接口防攻击
(4)web安全
(5)产品开发、发布与安装安全
(6)数据库安全
(7)敏感数据保护
(8)系统管理和维护安全
(9)安全资料
(10)**接口及防止非法**
第四章:产品安全性问题/风险汇总和跟踪
1、未解决问题列表
第五章:附件
工具扫描结果
术语和定义
作者: 御影舞    时间: 2014-3-28 17:19
测试工具说明:
一:Nessus :漏洞扫描工具,用于扫描网中中的服务器、计算机漏洞,可用于黑客攻击前的信息收集。
二:Nmap:网络协议分析工具,可用于抓取及分析网络中的计算机及其他网络设备之间的所有通讯数据
三:xDefend:xDefend是一款华为公司自研的网络攻击测试工具,用于泛洪攻击、畸形报文攻击
四:APPSCAN:Rational AppScan是IBM公司的Web应用安全测试工具
五:paros3.2.13:Web代理工具,主要用于输入校验测试
六:httpwatch:Web报文分析,主要用于越权URL测试
七:NGS工具:数据库扫描工具
八:Trend Micro OfficeScan 10.0:防病毒扫描工具
九:Avira Professional Security 2013:防病毒扫描工具
十:Mcafee VirusScan Enterprise 8.8:防病毒扫描工具
十一:Symantec Endpoint Protection:防病毒扫描工具
十二:automan.MemPassScanner:敏感数据扫描,主要扫描是否包含工号或DTS单号
十三:findPlainPassword:敏感数据扫描,主要扫描后台配置文件中是否包含明文密码
十四:Burpsuite工具:检查服务器对输入合法性校验




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2