在进行安全测试时,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如:
a.想方设法截取或破译口令;
b.专门开发软件来破坏系统的保护机制;
c.故意导致系统失败,企图趁恢复之机非法进入;
d.试图通过浏览非保密数据,推导所需信息等等。
安全性一般分为两个层次,即应用程序级别的安全性和系统级别的安全性,针对不同的安全级别,其测试策略和方法也不相同:
应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时,确定有不同权限的用户类型,创建各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。软件测试
系统级别的安全性,可确保只有具备系统访问权限的用户才能访问应用程序,而且只能通过相应的网关来访问,包括对系统的登录或远程访问。其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。