安全性测试建议

charmer · 发表于 2007-1-27 11:25:20

我想大家做测试都有很长一段时间了，不知道各位在做测试的实际过程中，你们公司的产品在安全性方面考虑了多少？大家觉得安全性测试是否需要考虑呢？我很想了解大家意见，年后我将把一些安全性测试的相关文档贴出来，首先我想了解大家对安全性测试了解了多少？希望每个看过的人能把自己的意见或自己的想法写出来，这样大家也可以参考一下，这样大家也可以了解一些安全性测试的基础……

charmer · 发表于 2007-1-27 11:34:16

先把第一楼占着，为年后贴安全性测试建议留下

dionysus · 发表于 2007-1-28 17:41:03

所在公司主要是做单机版软件，涉及到安全性的东西不多。记得刚做测试的时候按照以前看过的一篇网络黑客文章，在软件搜索栏中输入一个单引号，没想到软件也一样崩溃了，自此以后程序员就开始处理所有关系到数据库查询的特殊字符了。
前一段时间做公司加密锁方面的测试，也许和安全沾上点边了，发现要想把所有恶意的破解都防范到是很困难的，我们只能首先处理客户日常能做到的那些操作，把正常的业务捋顺，不出现矛盾。

charmer · 发表于 2007-6-22 10:15:31

．安全性测试
在进行安全测试时，测试人员假扮非法入侵者，采用各种办法试图突破防线。例如：

想方设法截取或破译口令；
专门开发软件来破坏系统的保护机制；
故意导致系统失败，企图趁恢复之机非法进入；
试图通过浏览非保密数据，推导所需信息等等。
安全性一般分为两个层次，即应用程序级别的安全性和系统级别的安全性，针对不同的安全级别，其测试策略和方法也不相同：

应用程序级别的安全性，包括对数据或业务功能的访问，在预期的安全性情况下，操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时，确定有不同权限的用户类型，创建各用户类型并用各用户类型所特有的事务来核实其权限，最后修改用户类型并为相同的用户重新运行测试。
系统级别的安全性，可确保只有具备系统访问权限的用户才能访问应用程序，而且只能通过相应的网关来访问，包括对系统的登录或远程访问。其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。