公司:#貝殼 #順豐
崗位:#軟件測(cè)試工程師 關(guān)鍵字:#功能測(cè)試 #測(cè)試分析 #安全測(cè)試 安全性測(cè)試要求:
(1)能夠?qū)γ艽a試探工具進(jìn)行防范
(2)能夠防范對(duì)Cookie攻擊的常用手段
(3)敏感數(shù)據(jù)保證不用明文傳輸
(4)能防范通過文件名猜測(cè)和查看html文件內(nèi)容獲取重要信息
(5)能保證在網(wǎng)站收到工具后在給定時(shí)間內(nèi)恢復(fù),重要數(shù)據(jù)丟失不超過1小時(shí) 測(cè)試要點(diǎn)
(1)應(yīng)用級(jí)的安全 應(yīng)用級(jí)的安全測(cè)試目的在于查找Web系統(tǒng)自身程序設(shè)計(jì)中存在的安全隱患,測(cè)試區(qū)域有:
(1.1)注冊(cè)與登錄:有效、無(wú)效的用戶名和密碼;要注意是否存在大小寫敏感;可以嘗試多少次的限制;是否可以不登錄而直接瀏覽某個(gè)頁(yè)面
(1.2)在線超時(shí):超時(shí)限制
(1.3)操作留痕:相關(guān)信息是否寫入日志
(1.4)備份與恢復(fù):數(shù)據(jù)庫(kù)增量備份;數(shù)據(jù)庫(kù)完全備份;系統(tǒng)完全備份
(2)傳輸級(jí)的安全 傳輸級(jí)的安全測(cè)試目的在于測(cè)試數(shù)據(jù)經(jīng)過客戶端傳送到服務(wù)器可能存在的安全漏洞,服務(wù)器防范非法訪問的能力,測(cè)試要點(diǎn):
(2.1)HTTPS和SSL測(cè)試;服務(wù)器端的腳本漏洞檢查;測(cè)試未經(jīng)授權(quán),就不能在服務(wù)器端放置和編輯腳本問題
(2.2)防火墻測(cè)試:防火墻功能;防火墻設(shè)置
(2.3)數(shù)據(jù)加密測(cè)試:對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)內(nèi)容進(jìn)行驗(yàn)證
(2.4)密鑰:密鑰的產(chǎn)生、分配保存、更換與銷毀