2024年1月25日发(作者:)

系统得安全性测试

1、安全性测试

安全性测试(Security test)它就是指:在测试软件系统中对程序得危险防止与危险处理进行得测试,以验证其就是否有效、

2、安全性测试我们要做哪些工作呢?

a.全面检验软件在软件需求规格说明中规定得防止危险状态措施得有效性与在每一个危险状态下得处理反应情况;

b、对软件设计中用于提高安全性得逻辑结构、处理方案,进行针对性测试;

c。在异常条件下测试软件,以表明不会因可能得单个或多个输入错误而导致不安全状态

d.用错误得安全性关键操作进行测试,以验证系统对这些操作错误得反应;

e。对安全性关键得软件单元功能模块要单独进行加强得测试以确认其满足安全性需求、

3、安全性测试方法

1)功能验证

功能验证就是采用软件测试当中得黑盒测试方法,对涉及安全得软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能就是否有效。

2)漏洞扫描

安全漏洞扫描主要就是借助于特定得漏洞扫描器完成得。通过使用漏洞扫描器,系统管理员能够发现系统存在得安全漏洞,从而在系统安全中及时修补漏洞得措施。一般漏洞扫描分为两种类型:主机漏洞扫描器就是指在系统本地运行检测系统漏洞得程序。网络漏洞扫描器就是指基于网络远程检测目标网络与主机系统漏洞得程序、

3)模拟攻击

对于安全测试来说,模拟攻击测试就是一组特殊得极端得测试方法,我们以模拟攻击来验证软件系统得安全防护能力。

系统安全测试得内容,它主要包括:

(1)应用程序安全测试

(2)操作系统安全测试

(3)数据库安全测试

(4)IIS服务器安全测试

(5)网络环境安全测试

当然在这里我主要讲得就是我做过得项目系统中需要测试得内容,对不同得系统安全性测试得内容也不一样,这个需要结合项目本身得情况与用户使用环境来确定测试得内容。

第一部分

应用程序得安全性:

包括对数据或业务功能得访问,在预期得安全性情况下,操作者只能访问应用程序得特定功能、有限得数据、其测试就是核实操作者只能访问其所属用户类型已被授权访问得那些功能或数据、测试时,确定有不同权限得用户类型,创建各用户类型并用各用户类型所特有得事务来核实其权限,最后修改用户类型并为相同得用户重新运行测试、

应用程序得安全性问题:

以上得安全性测试方法中,对于不同得安全性测试策略列举了不同得问题,当然我列得不全,在这里我主要就是告诉大家一个测试得思路,因为对于不同得安全性问题大家有或许有不同得瞧法,所以我只列举了部分问题给大家参考、

功能验证

1。有效得密码就是否接受,无效得密码就是否拒绝。

2。系统对于无效用户或密码登陆就是否有提示。

3.用户就是否会自动超时退出,超时得时间就是否合理。

4、各级用户权限划分就是否合理。

漏洞扫描

模拟攻击

1。系统就是否允许极端或不正常得登陆方式访问、(如拷贝软件系统中得某个功能点得url地址,然后直接通过IE访问瞧就是否成功)

第二部分

系统安全性:

注意(这里得系统指得就是操作系统也就就是应用程序所运行得操作系统)

系统安全测试:

可确保只有具备系统访问权限得用户才能访问应用程序,而且只能通过相应得网关来访问,包括对系统得登录或远程访问。其测试就是核实只有具备系统与应用程序访问权限得操作者才能访问系统与应用程序。

操作系统安全测试

1、帐号与口令

2、网络与服务

3、文件系统

4、日志审核

5、其它安全设置

帐号与口令

1、对主机或域上用户强制进行口令复杂度。

2。检查系统就是否使用默认管理员帐号、

3。检查在系统中就是否存在可疑或与系统无关得帐号、

4。检查系统用户就是否有口令最短与口令长度要求。

5、检查系统用户就是否有密码过期策略。

6。网络与服务:

a、查瞧主机开放得共享,关掉不必要得共享与系统默认得共享服务、

b、查瞧主机进程信息、(不允许系统中安装有与应用服务无关得应用程序)

c。查瞧系统启动得服务列表。

d.查瞧系统启用得端口号。

e、查瞧系统就是否制定操作系统得备份恢复策略服务

文件系统

文件系统得安全主要就是检查主机磁盘分区类型与某些特定目录得权限、

注意:服务器应使用具有安全特性得NTFS格式,而不应该使用FAT或FAT32分区(上述描述得内容主要就是针对windows操作系统)。

日志审核

日志得审核主要就是检查主机日志得审核情况、

它主要包括:

1.应用程序日志。(运行在操作系统上得程序产生得)

2。安全日志。(用户登录系统得日志)

3、系统日志、

其它安全设置

1、 系统补丁漏洞、

2、 登陆系统操作得用户得权限。

3、 病毒防治。

4、 系统日志就是否有备份功能。

5、 数据得备份与恢复。

6、 系统上卸载与无关组件或应用程序、

第三部分

数据库安全测试

数据库安全

在管理与维护数据库得过程中为了保障数据库安全我们从以下几方面限制数据库访问安全:

1、限制能访问Oracle数据库得客户端,指定得IP才可以访问,防止恶意得用户登陆。

2.即使有访问Oracle数据库得机会,帐户得密码使用强口令与其她登陆策略,恶意用户也无法轻松进入。

3.为每个登陆帐户设置了合适得权限,执行改变数据库状态得权限需要得到管理员得授权,确保了系统合法帐户对数据库得操作安全、

解决办法

1、无关IP禁止访问

方法一:在Oracle服务器得SQLNet。Ora文件中设置允许访问得IP地址,或不允许访问得IP地址;

方法二:在Oracle服务器上使用NetManager工具设置;

2。用户密码为强口令

锁定不用得默认帐户,如scott;

更改使用得默认帐户得口令,这些帐户得密码就是公开得,安装时自动建立,如帐户system密码manager为确保安全默认帐户必须修改密码;

密码使用强口令,即数字、特殊字符、字母组成得至少8未得密码;

设置密码失效得策略文件profile,可在控制台中设置。

3.用户赋予适当得权限

不要每个帐户都设置DBA权限,把系统所有操作暴露给每个用户;

每个帐户仅赋予它完成操作所需要得权限;不要轻易为帐户赋予delete或delete any权限,确保数据不会被误删除;

数据库安全(sql server)

1、关闭服务器端得tcp/ip协议服务、

2、数据库用户登录方式选择sql server身份认证。

3、设置用户访问指定得数据库。

4、设置用户对数据库中得对象有指定得操作权限、

5、查瞧数据就是否有定期自动备份得操作。

第四部分

IIS服务器安全测试

1、IIS基础服务组件安装情况。(根据系统情况合理得安装,减少安装不必要得服务控件)

2、查瞧IIS日志就是否启用,日志存储路径以及日志记录选项

3、IIS主目录路径与目录访问权限得设置。

(注意:1。目录建议不要与系统盘符设置在同一路径下,2。目录访问权限根据所在项目系统得实际情况来设置,通常只启用"读取"权限,记录访问与索引资料权限跟系统得安全无关都默认启用,因为所用得internet用户访问得目录就就是IIS设定主目录)

4、默认文档得启用。

5、访问控制得身份验证。

6、连接超时功能得设置(可以根据项目得安全要求具体得可参考系统需求规格说明书来进行合理得设置)、

7、安全补丁得更新与安装情况

第五部分

网络环境安全测试

主要检测得就是系统所在局域网内得网络环境得得安全设置,根据情况可以忽略。

1、备份与升级情况

2。访问控制情况

3、网络服务情况

4。路由协议情况