51Testing软件测试论坛

标题: 关于数据库安全性测试 [打印本页]

作者: helen.wang 时间: 2009-11-17 17:21
标题: 关于数据库安全性测试
关于数据库安全性测试，大家都能想到对哪些方面进行测试呢？

作者: qinguifeng 时间: 2009-11-18 10:15
关注此贴

作者: Indisorder 时间: 2009-12-2 00:31
我只知道暴力注入

作者: takiro 时间: 2009-12-2 10:04
我觉得对数据库的操作，最基本的还是增，删，查和改。
可以先化繁为简，从这几点去做突破口吧，看基本的这些操作是否成功，然后考虑一些异常数据、并发数据、延迟数据（涉及网络）、同步数据的测试。

作者: Indisorder 时间: 2009-12-3 15:55
T哥说的没错，复杂的数据库操作不外乎增，删，查，改这些基本操作的组合，可以在这里做简单的测试；
数据方面，除了异常数据、并发、延迟、同步数据的测试外
可以补充如下方面的测试：
1，数据库的验证测试：目前常用到的就是用户名称和密码结合的测试，主要看使用者是否按照他的帐号权限进行操作。重点关注数据库默认的帐户名和密码（

我不得不承认某些DBA都是有点小懒）。现在有些数据库有智能识别卡，那就牵扯到智能识别卡是否实现了它应实现的功能和不应实现的功能。- -#还有生物识别...这个大概...作为游戏测试的话暂时是接触不到了。
2，数据保护测试：数据库数据写入，读出，在网络上传输过程中是否被加密；
备份，删除过程中因为意外情况（服务器硬盘被拔出，网络断线等）是否产生数据丢失；
丢失的数据是否可以找回，数据库设置时，是完全备份，差异备份还是其他备份方式；
3，数据库的服务器硬盘在被访问和备份时是否可以防拷，数据库的客户端在访问和备份时是否可以防拷
4，使用什么样的杀毒软件和防火墙？它们是安全的么？在数据库所有过程中，你所使用的杀毒软件和防火墙是否同时开启了数据库保护功能？
5，数据库安全规范的更新时间和更新方式：这个针对公司内部使用的数据库，举个例子：A从2008年入职公司，2009年合同到期，那么这一年时间内，A的帐号A123和密码123是有效的；到10年1月1日时，A登陆数据库应提示：您的帐户已过期请联系管理员，并无法登入。A离职以后，A的帐号A123直接从数据库中删除（

我们不能排除A会有什么想法嘎嘎）；以前曾经接触过一个极其牛掰的DBA，他给全公司的帐号每天都是随机生成的，每天早上上班前发送到各部门各职员的邮箱。具体是如何实现的他没告诉我..囧。
6，数据库安全日志...，如果真的出了问题，安全日志上是否有更新，是否会弹出警报。不过安全日志只是个亡羊补牢的方法，不过好的DBA一定非常关注这个东西呵呵

其实我觉得在安全测试方面无外乎技术与人，技术是容易实现的，排除掉技术，作为人“我们永远不知道他菊花一紧会拉出什么便便”来。对安全的控制其实是对人的控制，“人在技术限制的条件下正常实现功能”，这个是我理解的安全测试呵呵。

[ 本帖最后由 Indisorder 于 2009-12-3 15:56 编辑 ]

作者: Indisorder 时间: 2009-12-4 13:37
补充一点
7,数据库版本更新后，原数据库中的数据是否已经备份，备份在导入导出过程中是否遗漏或者不兼容。

作者: dyq 时间: 2009-12-14 15:03
路过

作者: 123gogogo123 时间: 2010-3-12 10:55
经鉴定，本人顶过的主题基本沉底，楼主自重....

作者: weiwei911909 时间: 2010-7-14 12:01
值得参考

作者: maxwell12 时间: 2010-7-14 12:04
8 数据库采用的字符集

作者: Aimbot 时间: 2010-7-14 22:41
用的是啥数据库？mysql，sql server还是oracle啊？
追加一条：杀千刀的热备份。。。。Master/Slave或是Cluster都要慎重。。。

作者: planescape 时间: 2010-7-14 23:32
1. 有效处理正常操作中异常情况
2. 数据完整性，可恢复性，服务可恢复性等
3. 防范攻击性操作

作者: kunty 时间: 2010-8-10 22:09
借鉴

作者: xue海无ya 时间: 2010-8-30 02:20
Indisorder 老兄思路很开阔，顶一下

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)