安全性测试

安全性测试

(1)能够对密码试探工具进行防范

(2)能够防范对Cookie攻击的常用手段

(3)敏感数据保证不用明文传输

(4)能防范通过文件名猜测和查看html文件内容获取重要信息

(5)能保证在网站收到工具后在给定时间内恢复，重要数据丢失不超过1小时

测试要点

(1)应用级的安全

应用级的安全测试目的在于查找Web系统自身程序设计中存在的安全隐患，测试区域有：

(1.1)注册与登录：有效、无效的用户名和密码;要注意是否存在大小写敏感;可以尝试多少次的限制;是否可以不登录而直接浏览某个页面。

(1.2)在线超时：超时限制

(1.3)操作留痕：相关信息是否写入日志

(1.4)备份与恢复：数据库增量备份;数据库完全备份;系统完全备份

(2)传输级的安全

传输级的安全测试目的在于测试数据经过客户端传送到服务器可能存在的安全漏洞，服务器防范非法访问的能力，测试要点：

(2.1)HTTPS和SSL测试;服务器端的脚本漏洞检查;测试未经授权，就不能在服务器端放置和编辑脚本问题

(2.2)防火墙测试：防火墙功能;防火墙设置

(2.3)数据加密测试：对介入信息的传送、存取、处理人的身份和相关内容进行验证

(2.4)密钥：密钥的产生、分配保存、更换与销毁