安全測試概念

　　8) 加密

　　l 為何使用特定的算法

　　l 如何確保加密密鑰的安全性

　　9) 參數操作

　　l 是否驗證所有的輸入參數

　　l 是否在參數過程中傳遞敏感數據

　　l 是否為了安全問題而使用HTTP頭數據

　　10) 異常管理

　　l 是否使用結構化的異常處理

　　l 是否向客戶端公開了太多的信息

　　11) 審核和日志記錄

　　l 是否明確了要審核的活動

　　l 是否考慮如何流動原始調用這身份

　　2. 應用及傳輸安全

　　WEB應用系統的安全性從使用角度可以分為應用級的安全與傳輸級的安全，安全性測試也可以從這兩方面入手。

　　應用級的安全測試的主要目的是查找Web系統自身程序設計中存在的安全隱患，主要測試區域如下。

　　l 注冊與登陸：現在的Web應用系統基本采用先注冊，后登錄的方式。

　　A. 必須測試有效和無效的用戶名和密碼

　　B. 要注意是否存在大小寫敏感，

　　C. 可以嘗試多少次的限制

　　D. 是否可以不登錄而直接瀏覽某個頁面等。

　　l 在線超時：Web應用系統是否有超時的限制，也就是說，用戶登陸一定時間內(例如15分鐘)沒有點擊任何頁面，是否需要重新登陸才能正常使用。

　　l 操作留痕：為了保證Web應用系統的安全性，日志文件是至關重要的。需要測試相關信息是否寫進入了日志文件，是否可追蹤。

　　l 備份與恢復：為了防范系統的意外崩潰造成的數據丟失，備份與恢復手段是一個Web系統的必備功能。備份與恢復根據Web系統對安全性的要求可以采用多種手段，如數據庫增量備份、數據庫完全備份、系統完全備份等。出于更高的安全性要求，某些實時系統經常會采用雙機熱備或多級熱備。除了對于這些備份與恢復方式進行驗證測試以外，還要評估這種備份與恢復方式是否滿足Web系統的安全性需求。

文章來源于領測軟件測試網 http://www.kjueaiud.com/