<pre id="ff7yo"></pre>

      <form id="ff7yo"><legend id="ff7yo"></legend></form>
        <nav id="ff7yo"><listing id="ff7yo"></listing></nav><nav id="ff7yo"></nav>

        <nav id="ff7yo"><listing id="ff7yo"></listing></nav>
        <small id="ff7yo"></small><nav id="ff7yo"><dd id="ff7yo"></dd></nav>
      1. <nav id="ff7yo"></nav>
          <form id="ff7yo"></form><nav id="ff7yo"></nav>
          <nav id="ff7yo"></nav>
          <sub id="ff7yo"></sub>
          更多課程 選擇中心

          軟件測試培訓
          達內IT學院

          400-111-8989

          詳述軟件測試中安全性測試的原則問題

          • 發布:test先生
          • 來源:軟件測試資源分享
          • 時間:2018-05-22 11:20

          詳述軟件測試中安全性測試的原則性問題

          我們在進行軟件測試的時候,往往會面對一些安全性測試的問題,讓人糾結的是要避免因安全性缺陷問題受各種可能類型的攻擊是不可能的,所以從軟件測試安全性方面去思考,有什么樣的方法或者安全性測試原則,可以讓我們達到一種中和的狀態呢?今天我們的軟件測試培訓就來探討一下這個問題:

          軟件安全性是一個廣泛而復雜的主題,每一個新的軟件總可能有完全不符合所有已知模式的新型安全性缺陷出現。要避免因安全性缺陷問題受各種可能類型的攻 擊是不切實際的。在軟件安全測試時,運用一組好的原則來避免不安全的軟件上市、避免不安全軟件受攻擊,就顯得十分重要。

          一、軟件測試中安全性測試基本概念

          軟件安全性測試包括程序、網絡、數據庫安全性測試。根據系統安全指標不同測試策略也不同。

          1.用戶程序安全的測試要考慮問題包括:

          ① 明確區分系統中不同用戶權限;

          ② 系統中會不會出現用戶沖突;

          ③ 系統會不會因用戶的權限的改變造成混亂;

          ④ 用戶登陸密碼是否是可見、可復制;

          ⑤ 是否可以通過絕對途徑登陸系統(拷貝用戶登陸后的鏈接直接進入系統);

          ⑥ 用戶推出系統后是否刪除了所有鑒權標記,是否可以使用后退鍵而不通過輸入口令進入系統。

          2.系統網絡安全的測試要考慮問題包括:

          ① 測試采取的防護措施是否正確裝配好,有關系統的補丁是否打上;

          ② 模擬非授權攻擊,看防護系統是否堅固;

          ③ 采用成熟的網絡漏洞檢查工具檢查系統相關漏洞;

          ④ 采用各種木馬檢查工具檢查系統木馬情況;

          ⑤ 采用各種防外掛工具檢查系統各組程序的客外掛漏洞。

          3.數據庫安全考慮問題:

          ① 系統數據是否機密(比如對銀行系統,這一點就特別重要,一般的網站就沒有太高要求);

          ② 系統數據的完整性;

          ③ 系統數據可管理性;

          ④ 系統數據的獨立性;

          ⑤ 系統數據可備份和恢復能力(數據備份是否完整,可否恢復,恢復是否可以完整)。

          二、軟件測試中安全測試需要考慮的問題

          1. 是否保護了最薄弱的環節?

          攻擊者往往設法攻擊最易攻擊的環節,這對于您來說可能并不奇怪。即便他們在您系統各部分上花費相同的精力,他們也更可能在系統最需要改進的部分中發現問題。這一直覺是廣泛適用的,因此我們的安全性測試應側重于測試最薄弱的部分。

          如果執行一個好的風險分析,進行一次最薄弱環節的安全測試,標識出您覺得是系統最薄弱的組件應該非常容易,消除最嚴重的風險,是軟件安全測試的重要環節。

          2. 是否具有縱深防御的能力?

          縱深防御背后的思想是:使用多重防御策略來測試軟件,以至少有一層防御將會阻止完全的黑客破壞。 “保護最薄弱環節”的原則適用于組件具有不重疊的安全性功能。當涉及到冗余的安全性措施時,所提供的整體保護比任意單個組件提供的保護要強得多,縱深防御 能力的測試是軟件安全測試應遵循的原則。

          3. 是否有保護故障的措施?

          大量的例子出現在數字世界。經常因為需要支持不安全的舊版軟件而出現問題。例如,比方說,該軟件的原始版本十分“天真”,完全沒有使用加密。現在該軟件想修正這一問題,但已建立了廣大的用戶基礎。此外,該軟件已部署了許多或許在長時間內都不會升級的服務器。更新更聰明的客戶機和服務器需 要同未使用新協議更新的較舊的客戶機進行互操作。該軟件希望強迫老用戶升級,沒有指望老用戶會占用戶基礎中如此大的一部分,以致于無論如何這將真的很麻煩。怎么辦呢?讓客戶機和服務器檢查它從對方收到的第一條消息,然后從中確定發生了什么事情。如果我們在同一段舊的軟件“交談”,那么我們就不執行加密。

          遺憾的是,老謀深算的黑客可以在數據經過網絡時,通過篡改數據來迫使兩臺新客戶機都認為對方是舊客戶機。更糟的是,在有了支持完全(雙向)向后兼容性的同時仍無法消除該問題。

          對這一問題的一種較好解決方案是從開始就采用強制升級方案進行設計;使客戶機檢測到服務器不再支持它。如果客戶機可以安全地檢索到補丁,它就升級。否則,它告訴用戶他們必須手工獲得一個新的副本。但是從一開始就應準備使用這一解決方案,否則就會得罪早期用戶。

          恭喜你閱讀完了本文,相信通過本文的閱讀,你已經了解了軟件測試中安全性測試應該注意的問題,在這里小編想再重復一下開篇的那句話:要避免因安全性缺陷問題受各種可能類型的攻擊是不可能的,所以我們在進行安全性測試的時候一定要抓住重點進行操作,不要避重就輕。最后,如果大家還有關于軟件測試的相關性問題,歡迎大家來達內軟件測試培訓機構進行咨詢。

          免責聲明:內容和圖片源自網絡,版權歸原作者所有,如有侵犯您的原創版權請告知,我們將盡快刪除相關內容。

          預約申請免費試聽課

          填寫下面表單即可預約申請免費試聽!怕錢不夠?可就業掙錢后再付學費! 怕學不會?助教全程陪讀,隨時解惑!擔心就業?一地學習,可全國推薦就業!

          上一篇:軟件測試工程師需要掌握的HTML標簽匯總
          下一篇:全面了解軟件測試覆蓋率的相關問題

          軟件測試必備的數據庫知識有哪些?(終)

          日志在快速定位自動化腳本故障中的重要性研究

          測試慣例是什么?怎么打破測試慣例?

          “用鼠標點點點”的測試,未來還有機會嗎?

          • 掃碼領取資料

            回復關鍵字:視頻資料

            免費領取 達內課程視頻學習資料

          • 視頻學習QQ群

            添加QQ群:1143617948

            免費領取達內課程視頻學習資料

          Copyright ? 2021 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

          選擇城市和中心
          黑龍江省

          吉林省

          河北省

          陜西省

          湖南省

          貴州省

          云南省

          廣西省

          海南省

          神马影院-战旗影院-首播影院-新视觉影院-在线观看中文字幕dvd播放 百度 好搜 搜狗
          <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>