在51上看到关于安全性测试的小结,搬过来记录一下。
对于软件安全性测试、数据库安全性测试,指标不同,测试策略也不同。
1. 用户认证安全性
1)明确区分系统中不同用户的权限
2)系统中会不会出现用户冲突
3)系统会不会因为用户的权限的改变造成混乱
4)用户登录密码是否可见、可复制
5)用户是否可以通过绝对途径登录系统(拷贝用户登录后的链接直接进入系统)
6)用户退出系统后是否删除了所有鉴权标记,是否可以使用后退键二部通过输入口令进入系统
2. 系统网络安全性
1)测试才去的防护措施是否正确装配好,有关系统的补丁是否打上
2)模拟非授权攻击,看防护系统是否坚固
3)采用成熟的网络漏洞检查工具检查系统相关漏洞(使用专业黑客工具攻击试,NBSI/IPhacker IP)
4)采用各种木马检查工具检查系统木马情况
5)采用各种防外挂工具检查系统各组程序的外挂漏洞
3. 数据库安全
1)系统数据是否机密
2)系统数据的完整性(企业实名核查服务系统)
3)系统数据可管理型
4)系统数据的独立性
5)系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)
