安全性测试摘要.pptVIP

? Session 测试 Session测试主要检查Web应用系统是否有超时的限制，也就是检查用户登录后在一定时间内没有点击任何页面，是否需要重新登录才能正常使用，检查超时后能否自动退出，退出之后，浏览器回退按钮是否可以回到登录页面。 ? 命令注射漏洞测试 命令注射漏洞测试主要检查所有调用外部资源( 例如system 、exec 、fork ，或者所有的发出请求的语法)的源代码，查找那些来自于 HTTP请求的输入可能发起调用的所有地方。 ? 日志文件测试 日志文件测试主要检查Web运行的相关信息是否写进了日志文件、是否可追踪，是否记录了系统运行中发生的所有错误，是否记录了用户的详细信息，包括用户的浏览器、用户停留的时间、用户 IP 等。记录了用户的 IP，就能通过追捕查出用户的具体地点。错误作为日志保留下来，可供技术人员分析错误是由系统实现漏洞引起的还是由于黑客攻击引起的。 ? 数据使用时的一致性和完整性测试 Web 应用系统中，使用数据库时，可能发生数据的一致性和完整性错误，因此，要检测系统中是否有事务管理和故障恢复功能，确认事务数据是否正确保存，检测系统是否有定期数据备份功能。 ? 4. 容错测试 容错方案及方案一致性测试 接口容错测试 压力测试 ? 容错方案及方案一致性测试 出错处理应该在整个网站中保持一致性，并且每一个出错处理片断都应该是一个整体设计方案中的一部