|
|
知识路径: > 测试技术的分类 > 安全测试与评估 > 软件产品安全测试 > 用户管理和访问控制 >
|
|
相关知识点:3个
|
|
|
|
|
数据库权限管理目前存在较多问题,该部分的测试有如下三个方面。
|
|
|
|
①应用软件部署后,数据库管理用户的设置应当注意对账号的保护,超级用户的口令不得为空或默认口令。对数据库的账号和组的权限作相应设置,如锁定一些默认的数据库用户;撤销不必要的权限。
|
|
|
|
②数据库中关于应用软件用户权限和口令存储的相关表格,尽量采用加密算法进行加密。
|
|
|
|
③软件企业在进行软件产品开发时,开发人员通常为了开发方便,在客户端与数据库通信时,均使用超级用户及默认密码(例如:username=“sa”,password=“”)访问数据库,这种方式将会带来严重的安全隐患,测试人员可以通过网络侦听的技术,或使用白盒测试方法进行测试,并且应当建议开发者,根据不同程序访问数据库的功能,使用不同的数据库用户进行连接,且必须设置复杂的密码。
|
|
|
