一、設(shè)計(jì)安全性測(cè)試用例

1.定義

安全測(cè)試是在軟件產(chǎn)品開發(fā)基本完成時(shí)，驗(yàn)證產(chǎn)品是否符合安全需求定義和產(chǎn)品質(zhì)量標(biāo)準(zhǔn)的過程。

2.概念

安全測(cè)試是檢查系統(tǒng)對(duì)非法侵入滲透的防范能力。

3.準(zhǔn)則

理論上來講，只要有足夠的時(shí)間和資源，沒有無法進(jìn)入的系統(tǒng)。因此，系統(tǒng)安全設(shè)計(jì)的準(zhǔn)則是使非法侵入的代價(jià)超過被保護(hù)信息的價(jià)值。

4.目標(biāo)

通過對(duì)系統(tǒng)進(jìn)行精心、全面的脆弱性安全測(cè)試，發(fā)現(xiàn)系統(tǒng)未知的安全隱患并提出相關(guān)建議，確保系統(tǒng)的安全性。安全性一般分為應(yīng)用程序級(jí)別和系統(tǒng)級(jí)別，區(qū)別如下：

應(yīng)用程序級(jí)別：包括對(duì)應(yīng)數(shù)據(jù)或業(yè)務(wù)功能的訪問，核實(shí)應(yīng)用程序的用戶權(quán)限只能操作被授權(quán)訪問的那些功能或數(shù)據(jù)。

系統(tǒng)級(jí)別：包括對(duì)操作系統(tǒng)的目錄或遠(yuǎn)程訪問，主要核實(shí)具備系統(tǒng)和應(yīng)用程序訪問權(quán)限的操作者才能訪問系統(tǒng)和應(yīng)用程序。

5.安全測(cè)試工具

延伸閱讀：

二、Session安全

Session是客戶端與服務(wù)器端建立的會(huì)話，總是放在服務(wù)器上的，服務(wù)器會(huì)為每次會(huì)話建立一個(gè)sessionId，每個(gè)客戶會(huì)跟一個(gè)sessionID 對(duì)應(yīng)。 并不是關(guān)閉瀏覽器就結(jié)束了本次會(huì)話，通常是用戶執(zhí)行“退出”操作或者會(huì)話超時(shí)時(shí)才會(huì)結(jié)束。

測(cè)試關(guān)注點(diǎn)：

Session互竄

Session互竄即是用戶A的操作被用戶B執(zhí)行了。 驗(yàn)證Session互竄，其原理還是基于權(quán)限控制，如某筆訂單只能是A進(jìn)行操作，或者只能是A才能看到的頁面，但是B的session竄進(jìn)來卻能夠獲得A的訂單詳情等。

Session互竄方法： 多TAB瀏覽器，在兩個(gè)TAB頁中都保留的是用戶A的session記錄，然后在其中一個(gè)TAB頁執(zhí)行退出操作，登陸用戶B， 此時(shí)兩個(gè)TAB頁都是B的session，然后在另一個(gè)A的頁面執(zhí)行操作，查看是否能成功。 預(yù)期結(jié)果：有權(quán)限控制的操作，B不能執(zhí)行A頁面的操作，應(yīng)該報(bào)錯(cuò)，沒有權(quán)限控制的操作，B執(zhí)行了A頁面 操作后，數(shù)據(jù)記錄是B的而不是A的。

Session超時(shí)

基于Session原理，需要驗(yàn)證系統(tǒng)session是否有超時(shí)機(jī)制，還需要驗(yàn)證session超時(shí)后功能是否還能繼續(xù)走下去。

測(cè)試方法：打開一個(gè)頁面，等著10分鐘session超時(shí)時(shí)間到了，然后對(duì)頁面進(jìn)行操作，查看效果。多TAB瀏覽器，在兩個(gè)TAB頁中都保留的是用戶A的session記錄，然后在其中一個(gè)TAB頁執(zhí)行退出操作，馬上在另外一個(gè)頁面進(jìn)行要驗(yàn)證的操作，查看是能繼續(xù)到下一步還是到登錄頁面。