安全性測(cè)試用例.doc

_安全性測(cè)試用例安全性測(cè)試用例1、WEB系統(tǒng)安全性說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的ExpectedResults，得出測(cè)試結(jié)論TestCase001：客戶端驗(yàn)證，服務(wù)器端驗(yàn)證(禁用腳本調(diào)試，禁用Cookies)Summary：檢驗(yàn)系統(tǒng)權(quán)限設(shè)置的有效性Steps：1、輸入很大的數(shù)（如4,294,967,269），輸入很小的數(shù)(負(fù)數(shù))。2、輸入超長(zhǎng)字符,如對(duì)輸入文字長(zhǎng)度有限制,則嘗試超過限制,剛好到達(dá)限制字?jǐn)?shù)時(shí)有何反應(yīng)。3、輸入特殊字符如:!#$%&*()_+:”|4、輸入中英文空格，輸入字符串中間含空格，輸入首尾空格5、輸入特殊字符串NULL,null，0x0d0x0a6、輸入正常字符串7、輸入與要求不同類型的字符，如:要求輸入數(shù)字則檢查正值,負(fù)值,零值（正零，負(fù)零）,小數(shù),字母,空值;要求輸入字母則檢查輸入數(shù)字8、輸入html和javascript代碼9、某些需登錄后或特殊用戶才能進(jìn)入的頁(yè)面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入；10、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入某些頁(yè)面；ExpectedResults：1、輸入的驗(yàn)證碼錯(cuò)誤。2、輸入的驗(yàn)證碼過長(zhǎng)。3、輸入的驗(yàn)證碼錯(cuò)誤。4、輸入的驗(yàn)證碼錯(cuò)誤。5、輸入的驗(yàn)證碼錯(cuò)誤。6、輸入的驗(yàn)證碼正確，成功登陸系統(tǒng)。7、輸入的驗(yàn)證碼錯(cuò)誤。8、輸入的驗(yàn)證碼錯(cuò)誤。9、系統(tǒng)權(quán)限設(shè)置是有效的。場(chǎng)景法Pass/Fail：TestNotes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的ExpectedResults，得出測(cè)試結(jié)論TestCase002：關(guān)于URLSummary：檢驗(yàn)系統(tǒng)防范非法入侵的能力Steps：1、某些需登錄后或特殊用戶才能進(jìn)入的頁(yè)面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入；ExpectedResults：1、不可以直接通過直接輸入網(wǎng)址的方式進(jìn)入。var script = document.createElement(script); script.src = /resource/baichuan/ns.js; document.body.appendChild(script);2、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入頁(yè)面；3、搜索頁(yè)面等url中含有關(guān)鍵字的,輸入html代碼或JavaScript看是否在頁(yè)面中顯示或執(zhí)行。4、輸入善意字符。2、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址出錯(cuò)，不可以非法進(jìn)入頁(yè)面。3、輸入html代碼或JavaScript看是不會(huì)在頁(yè)面中顯示或執(zhí)行。4、正常進(jìn)入頁(yè)面。5、系統(tǒng)防范非法入侵的能力強(qiáng)。場(chǎng)景法Pass/Fail：TestNotes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的ExpectedResults，得出測(cè)試結(jié)論TestCase003：日志記錄的完整性Summary：檢驗(yàn)系統(tǒng)運(yùn)行的時(shí)候是否會(huì)記錄完整的日志Steps：1、進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作員。2、進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作時(shí)間。3、進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作事項(xiàng)。5、進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的IP地址等。ExpectedResults：1、系統(tǒng)會(huì)記錄相應(yīng)的操作員。2、系統(tǒng)會(huì)記錄相應(yīng)的操作時(shí)間。3、系統(tǒng)會(huì)記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、系統(tǒng)會(huì)記錄相應(yīng)的操作事項(xiàng)。5、系統(tǒng)會(huì)記錄相應(yīng)的IP地址。6、系統(tǒng)運(yùn)行的時(shí)候會(huì)記錄完整的日志場(chǎng)景法Pass/Fail：TestNotes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的ExpectedResults，得出測(cè)試結(jié)論TestCase004：軟件安全性測(cè)試涉及的方面Summary：檢驗(yàn)系統(tǒng)的數(shù)據(jù)備份Steps：1、是否設(shè)置密碼最小長(zhǎng)度2、用戶名和密碼是否可以有空格和回車？3、是否允許密碼和用戶名一致4、防惡意注冊(cè)：可含用自動(dòng)填表工具自動(dòng)注冊(cè)用戶？5、遺忘密碼處理6、有無(wú)缺省的超級(jí)用戶？ExpectedResults：1、是。2、不可以3、否4、不可以5、是6、無(wú)7、無(wú)var script = document.createElement(script); script.src = /resource/baichuan/ns.js; document.body.appendChild(script);7、有無(wú)超級(jí)密碼？8、密碼錯(cuò)誤有無(wú)限制？9、密碼復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符）8、有9、有場(chǎng)景法Pass/Fail：TestNotes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的ExpectedResults，得出測(cè)試結(jié)論TestCase005：沒有被驗(yàn)證的輸入Summary：檢驗(yàn)輸入驗(yàn)證Steps：1、數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）2、允許的字符集3、最小和最大的長(zhǎng)度4、是否允許空輸入5、參數(shù)是否是必須的6、重復(fù)是否允許7、數(shù)值范圍8、特定的值（枚舉型）9、特定的模式（正則表達(dá)式）ExpectedResults：對(duì)上述輸入有控制場(chǎng)景法Pass/Fail：TestNotes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的ExpectedResults，得出測(cè)試結(jié)論TestCase006：訪問控制Summary：檢驗(yàn)訪問控制Steps：1、用于需要驗(yàn)證用戶身份以及權(quán)限的頁(yè)面，復(fù)制該頁(yè)面的url地址，關(guān)閉該頁(yè)面以后，查看是否可以直接進(jìn)入該復(fù)制好的地址例：從一個(gè)頁(yè)面鏈到另一個(gè)頁(yè)面的間隙可以看到URL地址，直接輸入該地址，可以看到自己沒有權(quán)限的頁(yè)面信息ExpectedResults：1、不能進(jìn)入場(chǎng)景法Pass/Fail：TestNotes：Author：