安全性测试的介绍

安全性测试的介绍

*1* 通过模拟攻击来寻找安全缺陷，以提高安全性质量;

*2* 用来验证集成在系统内的保护机制是否能够在实际中保护系统不受到非法的侵入;

*3* 用来保证系统本身数据的完整性和保密性。

2)安全性包含内容

*1* 环境安全(漏洞扫描、防病毒、缓冲区溢出);

*2* 产品安全(漏洞、产品本身会不会被破解);

*3* 权限安全(登录、权限控制、跨站脚本攻击、网页安全漏洞);

*4* 信息安全(数据库有特定的保密措施)。

3)常见功能性的安全性问题

*1* 没有口令是否可以登录到系统中?

*2* 各级用户权限划分是否合理?

*3* 错误和文件访问是否适当的被记录?

*4* 系统配置数据是否能正确保存，系统故障时是否能恢复?

4)安全性测试要点

常见的web系统安全测试要点：

*1* 不登录系统，直接输入登陆后的页面的url是否可以访问;

*2* 退出登录后，按后退按钮是否能够访问之前的页面;

*3* 重要信息(如密码、身份证号码、银行卡号等)在输入或查询时是否会明文显示;

*4* url中不可以修改的参数是否可以被修改等。

5)安全性测试举例说明

*1* 多次错误登录手机支付宝，查看是否可以自动锁定账号;

*2* 同一QQ账号是否可以同时在多个用户端登录?

*3* 微信支付中解绑银行卡时是否需要验证方式。