安全性測(cè)試用例(共8頁(yè))

1、安全性測(cè)試用例1、WEB系統(tǒng)安全性說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case001：客戶端驗(yàn)證，服務(wù)器端驗(yàn)證(禁用腳本調(diào)試，禁用Cookies)Summary：檢驗(yàn)系統(tǒng)權(quán)限設(shè)置的有效性Steps：1、輸入很大的數(shù)（如4,294,967,269），輸入很小的數(shù)(負(fù)數(shù))。2、輸入超長(zhǎng)字符,如對(duì)輸入文字長(zhǎng)度有限制,則嘗試超過(guò)限制,剛好到達(dá)限制字?jǐn)?shù)時(shí)有何反應(yīng)。3、輸入特殊字符如:!#$%&*()_+<>:”|4、輸入中英文空格，輸入字符串中間含空格，輸入首尾空格5、輸入特殊字符串NULL,null，0x0d 0x0

2、a6、輸入正常字符串7、輸入與要求不同類型的字符，如: 要求輸入數(shù)字則檢查正值,負(fù)值,零值（正零，負(fù)零）,小數(shù),字母,空值。 要求輸入字母則檢查輸入數(shù)字8、輸入html和javascript代碼9、某些需登錄后或特殊用戶才能進(jìn)入的頁(yè)面,是否可以通過(guò)直接輸入網(wǎng)址的方式進(jìn)入；10、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開(kāi)網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入某些頁(yè)面；Expected Results：1、 輸入的驗(yàn)證碼錯(cuò)誤。2、 輸入的驗(yàn)證碼過(guò)長(zhǎng)。3、 輸入的驗(yàn)證碼錯(cuò)誤。4、 輸入的驗(yàn)證碼錯(cuò)誤。5、 輸入的驗(yàn)證碼錯(cuò)誤。6、 輸入的驗(yàn)證碼正確，成功登陸

3、系統(tǒng)。7、 輸入的驗(yàn)證碼錯(cuò)誤。8、 輸入的驗(yàn)證碼錯(cuò)誤。9、系統(tǒng)權(quán)限設(shè)置是有效的。場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case002：關(guān)于URLSummary：檢驗(yàn)系統(tǒng)防范非法入侵的能力Steps：1、某些需登錄后或特殊用戶才能進(jìn)入的頁(yè)面,是否可以通過(guò)直接輸入網(wǎng)址的方式進(jìn)入；2、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開(kāi)網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入頁(yè)面；3、搜索頁(yè)面等url中含有關(guān)鍵字的,輸入html代碼或Java

4、Script看是否在頁(yè)面中顯示或執(zhí)行。4、輸入善意字符。Expected Results：1、 不可以直接通過(guò)直接輸入網(wǎng)址的方式進(jìn)入。2、 對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開(kāi)網(wǎng)址出錯(cuò)，不可以非法進(jìn)入頁(yè)面。3、 輸入html代碼或JavaScript看是不會(huì)在頁(yè)面中顯示或執(zhí)行。4、 正常進(jìn)入頁(yè)面。5、 系統(tǒng)防范非法入侵的能力強(qiáng)。場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case003：日志記錄的完整性Summary

5、：檢驗(yàn)系統(tǒng)運(yùn)行的時(shí)候是否會(huì)記錄完整的日志Steps：1、 進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作員。2、 進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作時(shí)間。3、 進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、 進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作事項(xiàng)。5、 進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的IP地址等。Expected Results：1、 系統(tǒng)會(huì)記錄相應(yīng)的操作員。2、 系統(tǒng)會(huì)記錄相應(yīng)的操作時(shí)間。3、 系統(tǒng)會(huì)記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、 系統(tǒng)會(huì)記錄相應(yīng)的操作事項(xiàng)。5、 系統(tǒng)會(huì)記錄相應(yīng)的IP地址。6、 系統(tǒng)運(yùn)行的時(shí)候會(huì)記錄完整的日志場(chǎng)景法Pass/Fail：Test Notes

6、：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case004：軟件安全性測(cè)試涉及的方面Summary：檢驗(yàn)系統(tǒng)的數(shù)據(jù)備份Steps：1、 是否設(shè)置密碼最小長(zhǎng)度2、 用戶名和密碼是否可以有空格和回車(chē)？3、 是否允許密碼和用戶名一致4、 防惡意注冊(cè)：可含用自動(dòng)填表工具自動(dòng)注冊(cè)用戶？5、 遺忘密碼處理6、 有無(wú)缺省的超級(jí)用戶？7、 有無(wú)超級(jí)密碼？8、 密碼錯(cuò)誤有無(wú)限制？9、 密碼復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫(xiě)字母、數(shù)字和特殊字符）Expected Results：1、 是。2、 不可以3、 否4、 不可以5、 是6、 無(wú)7、

7、無(wú)8、 有9、 有場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case005：沒(méi)有被驗(yàn)證的輸入Summary：檢驗(yàn)輸入驗(yàn)證Steps：1、 數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）2、 允許的字符集3、 最小和最大的長(zhǎng)度4、 是否允許空輸入5、 參數(shù)是否是必須的6、 重復(fù)是否允許7、 數(shù)值范圍8、 特定的值（枚舉型）9、 特定的模式（正則表達(dá)式）Expected Results：對(duì)上述輸入有控制場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps

8、時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case006：訪問(wèn)控制Summary：檢驗(yàn)訪問(wèn)控制Steps：1、用于需要驗(yàn)證用戶身份以及權(quán)限的頁(yè)面，復(fù)制該頁(yè)面的url地址，關(guān)閉該頁(yè)面以后，查看是否可以直接進(jìn)入該復(fù)制好的地址例：從一個(gè)頁(yè)面鏈到另一個(gè)頁(yè)面的間隙可以看到URL地址，直接輸入該地址，可以看到自己沒(méi)有權(quán)限的頁(yè)面信息Expected Results：1、不能進(jìn)入場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case007：輸入框驗(yàn)證Summa

9、ry： 驗(yàn)證輸入框是否經(jīng)驗(yàn)證Steps：對(duì)Grid、Label、Tree view類的輸入框未作驗(yàn)證，輸入的內(nèi)容會(huì)按照html語(yǔ)法解讀出來(lái)Expected Results：對(duì)上述輸入有控制場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case008：關(guān)鍵數(shù)據(jù)加密Summary：是否對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密Steps：1、登錄界面密碼輸入框中輸入密碼，頁(yè)面顯示的是 *，右鍵，查看源文件是否可以看見(jiàn)剛才輸入的密碼Expected Results：1、不能看到場(chǎng)景法Pass/Fail：Te

10、st Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case009：認(rèn)證請(qǐng)求方式Summary：檢驗(yàn)認(rèn)證請(qǐng)求方式Steps：1、認(rèn)證和會(huì)話數(shù)據(jù)是否使用POST方式，而非GET方式Expected Results：1、采用POST方式場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case010：SQL注入Summary：檢驗(yàn)是否存在SQL注入Steps：1、Expected Results：1、無(wú)效

11、場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case011：文件上傳風(fēng)險(xiǎn)Summary： Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case012：功能失效、異常帶來(lái)的安全風(fēng)險(xiǎn)Summary： Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：

12、Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case013：操作日志檢查Summary： Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case014：登錄次數(shù)限制Summary： Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Ex

13、pected Results，得出測(cè)試結(jié)論Test Case015：IE回退按鈕Summary： Steps：1、退出系統(tǒng)后，點(diǎn)擊IE回退按鈕，能否重新回到系統(tǒng)中Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case016：通信保密性Summary： Steps：1、測(cè)試主要應(yīng)用系統(tǒng)，查看當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方是否能自動(dòng)結(jié)束會(huì)話；系統(tǒng)是否能在通信雙方建立會(huì)話之前，利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證（如SSL建立加

14、密通道前是否利用密碼技術(shù)進(jìn)行會(huì)話初始驗(yàn)證）；在通信過(guò)程中，是否對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密；2、測(cè)試主要應(yīng)用系統(tǒng)，通過(guò)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，查看另一方是否能自動(dòng)結(jié)束會(huì)話，測(cè)試當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方是否能自動(dòng)結(jié)束會(huì)話的功能是否有效；3、測(cè)試主要應(yīng)用系統(tǒng)，通過(guò)查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過(guò)程中，對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密的功能是否有效。Expected Results：1、場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test C

15、ase017：通信保密性Summary： Steps：1、a) 應(yīng)限制單個(gè)用戶的多重并發(fā)會(huì)話；b) 應(yīng)對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；c) 應(yīng)對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；d) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；e) 應(yīng)禁止同一用戶賬號(hào)在同一時(shí)間內(nèi)并發(fā)登錄；f) 應(yīng)對(duì)一個(gè)訪問(wèn)用戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；g) 應(yīng)根據(jù)安全屬性（用戶身份、訪問(wèn)地址、時(shí)間范圍等）允許或拒絕用戶建立會(huì)話連接；h) 當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)和報(bào)警；i) 應(yīng)根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)

16、資源，保證優(yōu)先級(jí)低的主體處理能力不會(huì)影響到優(yōu)先級(jí)高的主體的處理能力。Expected Results：1、場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case018：數(shù)據(jù)備份和恢復(fù)Summary： Steps：1、a) 應(yīng)提供自動(dòng)備份機(jī)制對(duì)重要信息進(jìn)行本地和異地備份；b) 應(yīng)提供恢復(fù)重要信息的功能；c) 應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器的硬件冗余；d) 應(yīng)提供重要業(yè)務(wù)系統(tǒng)的本地系統(tǒng)級(jí)熱備份。Expected Results：1、場(chǎng)景法Pass/Fail：Test Note

17、s：Author：2、服務(wù)器安全性說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case001：Summary：操作系統(tǒng)賬戶Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case002：文件分區(qū)格式Summary： Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results，得出測(cè)試結(jié)論Test Case003：中間件密碼Summary： Steps：1、Expected Results：1、無(wú)效場(chǎng)景法Pass/Fail：Test Notes：Author：說(shuō)明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的