客户端破坏或安全测试

moshushi

帖子这么多怎么没有关于客户端破坏或安全测试呢?

我问两个问题希望达人能帮我解答:
1.我的测试里包括 (1)安装模块不齐全对程序影响
                         (2)验证NTFS权限设置对程序影响
                         (3)中断进程对程序影响
                        
测试项,测试环境还应有什么补充呢?

2.这个测试的名称到底是什么呢?(稳定测试?安全测试还是破坏测试呢?)

天网

1、由于对你的系统不了解，抱歉无法知道还要哪些测试项；
2、（1）应该是在进行安装测试；
     （2）应该是在对功能进行测试；
     （3）中断进程是否可以考虑为系统的一种异常？如果是，那么可以认为是一种异常测试。

    测试类型的名称不是关键。

moshushi

感谢天网
我忘说了我测试就是很常见的C/S结构的客户端，要对CLIENT进行安全性测试，其他大家用过的普通C/S客户端有的我测试这个都有，所以除了日志还有什么需要测试的项呢？

天网

安全性指的是确保系统信息安全的特性。安全性测试最基本的思路就是模拟系统可能遇到的各种攻击，来确认系统是否存在安全漏洞。由于攻击者没有闯入的标准方法，因而也没有实施安全性测试的标准方法。另外，安全性的范围也是非常宽泛的，不同的系统对于安全性的定义和要求也不一样，目前几乎没有可用的工具来彻底测试各个安全方面。
    另外有一点很重要，应注意安全性测试并不最终证明应用程序是安全的。而是只用于验证所设立对策的有效性，这些对策是基于威胁分析阶段所做的假设而选择的。一般C/S架构系统的安全性对策可以从以下一些方面构思：
    1、欺骗身份：在身份验证时窃取合法用户密码，然后模拟合法用户访问；
    2、篡改数据：故意毁坏或操作数据
    3、否认服务：否认系统已经提供某项服务，重复向系统提起请求，消耗系统资源；
    4、信息泄露：是否对一些敏感信息进行了加密？会不会被无权限的人获取？
    5、拒绝服务：通过通信协议的一些漏洞，使系统通信溢出，无法处理合法请求；
    6、特权升级：用户是否能获得不在其权限范围内的访问

cmsbai

对于应用面不是特别广同时安全要求等级不是特别高，我认为没有必要进行的如此全面，只需要关注本地的权限升级和服务端超出权限对客户端进行操作部分。

bigmeg

谢谢天网,加油学习中

taker2001

一般是在B/S结构下安全测试比较多吧
如果测试WEB的安全性 X-Scan这个软件比较好

linneng

x-scan一般用来测试系统的安全,对于web的安全无能为力。

chen13

web安全方面的工具, 都是商业工具

ljonathan

学习了，知道的不多，却要开始做了，吼吼

linda198421

学习～～～
同求c/s客户端安全测试相关资料