公司:#貝殼 #順豐
崗位:#軟件測試工程師 關(guān)鍵字:#功能測試 #測試分析 #安全測試 安全性測試要求:
(1)能夠?qū)γ艽a試探工具進(jìn)行防范
(2)能夠防范對Cookie攻擊的常用手段
(3)敏感數(shù)據(jù)保證不用明文傳輸
(4)能防范通過文件名猜測和查看html文件內(nèi)容獲取重要信息
(5)能保證在網(wǎng)站收到工具后在給定時間內(nèi)恢復(fù),重要數(shù)據(jù)丟失不超過1小時 測試要點(diǎn)
(1)應(yīng)用級的安全 應(yīng)用級的安全測試目的在于查找Web系統(tǒng)自身程序設(shè)計(jì)中存在的安全隱患,測試區(qū)域有:
(1.1)注冊與登錄:有效、無效的用戶名和密碼;要注意是否存在大小寫敏感;可以嘗試多少次的限制;是否可以不登錄而直接瀏覽某個頁面
(1.2)在線超時:超時限制
(1.3)操作留痕:相關(guān)信息是否寫入日志
(1.4)備份與恢復(fù):數(shù)據(jù)庫增量備份;數(shù)據(jù)庫完全備份;系統(tǒng)完全備份
(2)傳輸級的安全 傳輸級的安全測試目的在于測試數(shù)據(jù)經(jīng)過客戶端傳送到服務(wù)器可能存在的安全漏洞,服務(wù)器防范非法訪問的能力,測試要點(diǎn):
(2.1)HTTPS和SSL測試;服務(wù)器端的腳本漏洞檢查;測試未經(jīng)授權(quán),就不能在服務(wù)器端放置和編輯腳本問題
(2.2)防火墻測試:防火墻功能;防火墻設(shè)置
(2.3)數(shù)據(jù)加密測試:對介入信息的傳送、存取、處理人的身份和相關(guān)內(nèi)容進(jìn)行驗(yàn)證
(2.4)密鑰:密鑰的產(chǎn)生、分配保存、更換與銷毀
京公網(wǎng)安備 11010802030320號