51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3095|回复: 4
打印 上一主题 下一主题

软件安全性测试

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2016-2-22 16:07:16 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
摘要
安全性测试从冷门的话题,随着国内各大知名网站频繁被攻击,重要社区用户信息被泄露,逐步被各方所重视。而具体怎么做软件安全性测试,防止骇客有机可乘,国内普遍处于才起步的状态。今天笔者就自己的经验,系统总结了我所了解和掌握的安全测试,希望抛砖引玉,让更多更好的软件安全测试技术、经验被分享出来,供大家交流、学习,让我们的安全测试迈步起到一定的推动作用(更多内容可以微信关注:ceshibuluo)。

软件安全性测试
安全性测试(Security test)它是指:在测试软件系统中对程序的危险防止和危险处理进行的测试,以验证其是否有效。

软件安全具体测试方法
软件安全性测试包括了应用安全、数据,操作系统等方面。根据不同的安全测试指标,有不同的测试策略。最后,从社会工程学角度总结了出现非软件性安全的原因。下面总结了具体的安全测试项和对应的测试方法。
一、应用安全
应用安全的测试有包括了安全的审计、密码支持、标识与鉴别、用户数据保护和安全管理等五个方面。下面具体说每个方面需要做的测试项和具体的测试方法。
A安全审计
1、        安全审计自动响应
①系统用户的安全属性作非常规的添加或修改操作,如:对所有用户赋予管理员角色或所有权限操作。系统中只能存在一个超级管理角色。
②查看系统的是否告警提示并记录相关操作信息,即日志中应该有相关记录。
2、安全审计数据产生
系统需要提供日志机制,并能够记录与安全相关的事件,可以定义审计的级别(如告警,紧急,提示级别)。
3、用户身份关联
查阅相关的日志记录,当审计数据产生时,审计数据是否能将每个可审计事件与引起该事件的用户身份相关联。
4、审计查阅
①在日志相关界面能否查看到审计数据。
②系统是否能提供一些功能方便查看,如选择“全部”,按涉及用户的审计记录信息,或按时间查看等等。
5、        限制审计查阅
①使用日志管理员帐号登录系统,能查看系统审计信息;
②使用非日志管理员帐号依次登录系统,不能查看系统审计模块信息。
6、        可选审计查阅
①测试系统是否提供分类查看审计记录的功能;
②测试系统是否提供排序功能方便查看审计记录;
③测试系统是否提供“与”/“或”的查询功能方便查看审计记录,是否直接模糊查询。
7、安全审计事件选择
①设置集中审计事件排除条件;
②模拟发生集中审计事件,观察系统反应。
8、受保护的审计记录存储
使用系统划分出的用户身份(不具有审计删除权限)登录系统:尝试删除审计记录,看是否成功。
9、防止审计数据丢失
模拟审计数据已满情况,查看系统是否可选择“忽略可审计事件、阻止产生特有特权的授权用户外的所有可审计事件、覆盖所存储的最早的审计记录”中的一种处理方式,以确保审计数据不发生丢失现象。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情

    2024-10-20 14:47
  • 签到天数: 564 天

    连续签到: 1 天

    [LV.9]测试副司令

    4#
    发表于 2016-2-23 10:58:04 | 只看该作者
    有APP方面的经验分享一下吗?
    APP安全测试!!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2016-2-23 10:06:13 | 只看该作者
    看不懂说什么
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    2#
     楼主| 发表于 2016-2-22 16:09:13 | 只看该作者
    自己赞一个
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 20:00 , Processed in 0.069117 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表