Web安全性测试 考试要求： 了解      知识路径：  > 电子商务系统程序设计基础  > 电子商务系统的测试  > 基于Web的系统测试方式

	安全性测试是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。安全性测试并不最终证明应用程序是安全的，而是只用于验证系统的防范能力，检验系统的安全机制和保密措施的有效性。目前几乎没有可用的工具来彻底测试各个安全方面。由于应用程序中的功能错误也可代表潜在的安全性缺陷。对于电子商务系统这类基于Web的应用系统，安全性特别是系统级别的安全性尤为重要。安全性的测试可从以下几个方面来设计测试用例：        （1）在向缓冲区写入数据时，是否存在缓冲区溢出的现象？        （2）站点能否正确鉴别用户？有效的用户名和密码能否正常登录？        （3）系统能否有效地阻止非法的用户名和密码登录？        （4）密码的选择是否有规则限制？        （5）系统对登录的次数是否有限制？        （6）是否存在不用登录即可浏览的页面？        （7）登录后是否有连接时间限制？超时后如何处理？        （8）浏览器是否设置为最高级别的安全保护？        （9）对于通过telnet或是第三方网络提供商登录的用户，应用程序是否有病毒保护程序？        （10）在应用程序服务器或数据中心检测到病毒时是否采取了相关的处理措施？处理是否有效？        （11）站点如何处理访问权限，是否服务器端所有目录的存取都需要经过授权？        （12）站点是否对数据进行加密？        （13）是否可通过直接拨号进入数据库来访问和篡改系统？        （14）非保密数据或源代码中是否泄漏了某些需要保密的重要信息？        （15）系统是否提供了防止信用卡欺诈的机制？        （16）日志文件是否能正确记录所有的事务处理？        （17）日志文件记录的信息能否跟踪入侵者。        通常，安全测试由测试人员模拟非法入侵者，采用各种方法冲破防线。例如，想方设法截取或破译口令；故意使系统出错，利用系统恢复的过程非法入侵；企图通过浏览非保密数据，获取所需信息等。

更多复习资料 请登录电脑版软考在线 www.rkpass.cn 京B2-20210865 | 京ICP备2020040059号-5 京公网安备 11010502032051号 | 营业执照  Copyright ©2000-2025 All Rights Reserved 软考在线版权所有