测试设计-安全性测试.pptx

测试过程管理Software Test Process Management 王 彩 OUTLINE 安全性测试 - Security testing 安全性简介 安全性测试 2 安全性测试刻不容缓 35%的数据泄露是由于软件本身的漏洞,而不是防火墙网络等因素 软件越复杂,安全漏洞越多;软件越开放(web访问方式),安全漏洞越多. 程序员和黑客的门槛都降低了. 思考:你知道的安全性设计 4 系统了解安全性测试 软件安全测试是指有关验证软件的安全等级和识别潜在安全性缺陷的过程。其主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。做好软件安全性测试的必要条件是:一是充分了解软件安全漏洞,二是评估安全风险,三是拥有高效的软件安全测试技术和工具。 安全系统防护体系 数据层 中间层 客户端 Web 应用的架构 防火墙 Web 服务器 应用 服务器 数据库 信息安全全景 Web IDS(入侵诊断系统) IPS(入侵防御系统) 常用安全性设计 登陆时，要验证用户名和密码 不同权限的用户授权访问的功能不同 敏感信息加密或用屏蔽符显示 用户超时退出 登陆绑定特定电脑或ip 阻止不正常访问方式 等等 9 不正常的访问方式 比如：绕过登陆进入系统 直接修改页面参数（常用两种http请求发送方式是get方式和p