系统测试课件.ppt

5.性能测试工具 商业工具 HP LoadRunner IBM Rational Performance Tester Radview WebLoad Compuware QA?Load Quest Benchmark Factory 微软WAS（Web Access Stress test） Paessler Webserver Stress Tool MINQ PureLoad 6.性能测试要点 测试环境应尽量与产品运行环境保持一致，应单独运行尽量避免与其他软件同时使用 录制脚本和手工编写脚本相结合 重点在于前期数据的设计与后期数据的分析 设置数据池，实现变量加载 采用复合交易测试方案、业务批量执行 需要同时监控数据库服务器、Web服务器以及网络资源等使用情况，以便对系统的性能做全面评估 模拟用户数的递增 6.性能测试要点 合理设置交易之间时间间隔 超时（timeout）的设置、错误处理 并发用户连续执行交易数的设置、设置并发点 并发用户数量极限点 尽量将执行负载测试的机器合理分布 加压机器的CPU使用率也有必要监控 4 安全性测试 1.安全性测试概念 安全性测试是检查系统对非法侵入的防范能力。安全测试期间，测试人员假扮非法入侵者，采用各种办法试图突破防线。例如： 想方设法截取或破译口令； 专门开发软件来破坏系统的保护机制； 故意导致系统失败，企图趁恢复之机非法进入； 试图通过浏览非保密数据，推导所需信息等等。 理论上讲，只要有足够的时间和资源，没有不可进入的系统。因此系统安全设计的准则是，使非法侵入的代价超过被保护信息的价值，此时非法侵入者已无利可图。 1.安全性测试概念 功能性测试 vs 安全性测试 功能性测试：软件做它应该做的事，验证正确的输出不正确的输出 /行为 / 缺陷(Bug) 安全性测试：软件不做它不应该做的事, 应用输入验证, 没有不安全的事情发生在测试软件系统中对危险防止和危险处理设施进行的测试，以验证其是否有效 2.安全性测试的范围 安全性一般分为两个层次，即应用程序级别的安全性和系统级别的安全性，它们的关系如下： 应用程序级别的安全性，包括对数据或业务功能的访问；系统级别的安全性，包括对系统的登录或远程访问 应用程序级别的安全性可确保在预期的安全性情况下，操作者只能访问特定的功能或用例，或者只能访问有限的数据；系统级别的安全性可确保只有具备系统访问权限的用户才能访问应用程序，而且只能通过相应的网关来访问 2.安全性测试的范围 安全性测试的范围： 安全功能测试 (Security Functional Testing)：数据机密性、完整性、可用性、不可否认性、身份认证、授权、访问控制、审计跟踪、委托、隐私保护、安全管理等 安全漏洞测试 (Security Vulnerability Testing)：从攻击者的角度, 以发现软件的安全漏洞为目的。安全漏洞是指系统在设计、实现、操作、管理上存在的可被利用的缺陷或弱点 3.安全性测试方法 基于漏洞的方法, 从软件内部考虑其安全性，识别软件的安全漏洞。如借助于特定的漏洞扫描器。 基于威胁的方法，从软件外部考察其安全性,识别软件面临的安全威胁并测试其是否能够发生 模拟攻击测试是一组特殊的、极端的测试方法，通常以模拟攻击来验证软件或信息系统的安全防护能力。 3.安全性测试方法 漏洞 3.安全性测试方法 威胁 3.安全性测试方法 白盒方法 用商业的统计分析工具 对源码的内审 借助工具 Coverity /Fortify 等 黑盒方法 错误注入（Fault injection） Dumb Fuzzing 灰盒方法 Smart Fuzzing / Intelligent fuzzing 3.安全性测试方法 静态安全性测试 主要通过对源代码进行安全扫描，根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对，从中找出代码中潜在的安全漏洞。静态的源代码安全测试是非常有用的方法，它可以在编码阶段找出所有可能存在安全风险的代码，这样开发人员可以在早期解决潜在的安全问题。而正因为如此，静态代码测试比较适用于早期的代码开发阶段，而不是测试阶段。 3.安全性测试方法 动态的渗透测试 渗透测试也是常用的安全测试方法。是使用自动化工具或者人工的方法模拟黑客的输入，对应用系统进行攻击性测试，从中找出运行时刻所存在的安全漏洞。这种测试的特点就是真实有效，一般找出来的问题都是正确的，也是较为严重的。但渗透测试一个致命的缺点是模拟的测试数据只能到达有限的测试点，覆盖率很低。 3.安全性测试方法 渗透测试的分类 根据渗透方法分类 黑箱测试 白盒测试 隐秘测试 根据渗透目标分类 主机操作系统渗透 数据库系统渗透 应用系