8) 加密
l 为何使用特定的算法
l 如何确保加密密钥的安全性
9) 参数操作
l 是否验证所有的输入参数
l 是否在参数过程中传递敏感数据
l 是否为了安全问题而使用HTTP头数据
10) 异常管理
l 是否使用结构化的异常处理
l 是否向客户端公开了太多的信息
11) 审核和日志记录
l 是否明确了要审核的活动
l 是否考虑如何流动原始调用这身份
2. 应用及传输安全
WEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全,安全性测试也可以从这两方面入手。
应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患,主要测试区域如下。
l 注册与登陆:现在的Web应用系统基本采用先注册,后登录的方式。
A. 必须测试有效和无效的用户名和密码
B. 要注意是否存在大小写敏感,
C. 可以尝试多少次的限制
D. 是否可以不登录而直接浏览某个页面等。
l 在线超时:Web应用系统是否有超时的限制,也就是说,用户登陆一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
l 操作留痕:为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。
l 备份与恢复:为了防范系统的意外崩溃造成的数据丢失,备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对安全性的要求可以采用多种手段,如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的安全性要求,某些实时系统经常会采用双机热备或多级热备。除了对于这些备份与恢复方式进行验证测试以外,还要评估这种备份与恢复方式是否满足Web系统的安全性需求。
文章来源于领测软件测试网 https://www.ltesting.net/
