安全测试关注点
1、用户认证安全方面的测试
1、系统是否划分不同权限的用户
2、系统中不会出现用户冲突
3、用户权限修改后是否造成系统用户混乱
4、密码是否可复制、可破解
5、是否可以通过绝对路径直接登录系统(拷贝已登录系统的链接看是否直接进入系统)
6、用户退出系统后,是否删除所有鉴权标志,是否可以通过后退键而不通过输入用户口令直接进入系统
2、系统网络安全方面的测试
1、测试采取的防护措施是否正确装配好,有关系统的补丁是否打上
2、模拟非授权攻击,看防护系统是否坚固
3、采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是NBSI系列和IPhacker IP)
4、采用各种木马检查工具检查系统木马情况
5、采用各种防外挂工具检查系统各组程序的外挂漏洞
3、数据库安全方面的测试
1、系统数据是否机密(比如银行系统)
2、系统数据的完整性
3、系统数据的可管理理性
4、系统数据的独立性
5、系统数据是否可以正常备份和恢复(数据备份是否完整,可否恢复,恢复是否可以完整)
4、APP端安全方面的测试
1、敏感信息泄露漏洞
2、备份功能开启漏洞
3、本地拒绝服务漏洞
4、任意调试漏洞
5、HTTPS中间人劫持漏洞
6、加密算法漏洞
5、服务端安全方面的测试
1、SQL注入漏洞
2、文件上传漏洞
3、越权漏洞
4、XSS漏洞
5、业务逻辑漏洞
6、接口未限制导致撞库
本文分享自 AllTests软件测试 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!