安全性測試用例

1、安全性測試用例1、WEB系統(tǒng)安全性說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results得出測試結論Test Case001客戶端驗證，服務器端驗證（禁用腳本調試，禁用 Cookies）Summary:檢驗系統(tǒng)權限設置的后效性Steps1、輸入很大的數(shù)（如4,294,967,269）,輸入很小的數(shù)（負數(shù)）。2、輸入超長字符，如對輸入文字長度有限制， 則嘗試超過限制，剛好到達限制字數(shù)時有何 反應。3、輸 入 特 殊 字 符如:!#$%人&*（）_+<>:" 川4、輸入中英文空格，輸入字符串中間含空格， 輸入首尾空格5、輸入特殊字符串 NULL

2、,null , 0x0d 0x0a6、輸入正常字符串7、輸入與要求不同類型的字符，如：要求輸入數(shù)字則查止值，負值，零值（正零，負零）， 小數(shù)，字母，空值；要求輸入字母則檢查輸入 數(shù)字8、輸入 html 和 javascript 代碼9、某些需登錄后或特殊用戶才能進入的頁 面,是否可以通過直接輸入網址的方式進入；10、對于帶參數(shù)的網址，惡意修改其參數(shù)，（若 為數(shù)字，則輸入字母，或很大的數(shù)字，或輸入特 殊字符等）后打開網址是否出錯，是否可以非 法進入某些頁面；Expected Results1、輸入的驗證碼錯誤。2、輸入的驗證碼過長。3、輸入的驗證碼錯誤。4、輸入的驗證碼錯誤。5、輸入的驗證碼錯誤

3、。6、輸入的驗證碼正確，成功登陸系統(tǒng)。7、輸入的驗證碼錯誤。8、輸入的驗證碼錯誤。9、系統(tǒng)權限設置是肩效的。切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case002 關于 URLSummary:檢驗系統(tǒng)防范非法入侵的能力Steps1、某些需登錄后或特殊用戶才能進入的頁 面,是否可以通過直接輸入網址的方式進入；Expected Results1、/、口以直接通過直接輸入網址的方 式進入。2、對于帶參數(shù)的網址，惡意修改其參數(shù)，（若 為數(shù)字，則輸入字母，或很大的數(shù)字，或輸入特 殊字

4、符等）后打開網址是否出錯，是否可以非 法進入頁面；3、搜索貝囿等url中含后美鍵字的，輸入html代碼或JavaScript 看是否在頁面中顯 示或執(zhí)行。4、輸入善意字符。2、對于帶參數(shù)的網址，惡意修改其參數(shù)，（若 為數(shù)字，則輸入字母，或很大的數(shù)字，或輸 入特殊字符等）后打開網址出錯，不可以 非法進入頁面。3、輸入html代碼或JavaScript 看是不會 在頁面中顯示或執(zhí)行。4、正常進入頁面。5、系統(tǒng)防范非法入侵的能力強。切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)行每一步Steps時，請參照對應編號的Expected Results得出測試結論Test Case0

5、03日志記錄的完整性Summary:檢驗系統(tǒng)運行的時候是否會記錄完整的日志StepsExpected Results1、進行詳單查詢，檢測系統(tǒng)是否會記錄相應的操作員。1、 系統(tǒng)會記錄相應的操作員。2、 系統(tǒng)會記錄相應的操作時間。2、進行詳單查詢，檢測系統(tǒng)是否會記錄相應的操作時間。3、 系統(tǒng)會記錄相應的系統(tǒng)的狀態(tài)。4、 系統(tǒng)會記錄相應的操作事項。3、進行詳單查詢，檢測系統(tǒng)是否會記錄5、系統(tǒng)會記錄相應的IP地址。相應的系統(tǒng)的狀態(tài)。4、 進行詳單查詢，檢測系統(tǒng)是否會記錄相應的操作事項。5、 進行詳單查詢，檢測系統(tǒng)是否會記錄相應的IP地址等。6、系統(tǒng)運行的時候會記錄完整的日志場景法Pass/Fail:

6、Test NotesAuthor：說明：執(zhí)行每一步 Steps時，請參照對應編號的 Expected Results, 得出測試結論Test Case004軟件安全性測試涉及的方面Summary:檢驗系統(tǒng)的數(shù)據(jù)備份StepsExpected Results1、是否設置密碼最小長度1、是。2、用戶名和密碼是否可以有空格和回車,2、/、可以3、是否允許密碼和用戶名一致3、否4、防惡意注冊：可含用自動填表工具自動注4、不可以冊用戶？5、是5、遺傳密碼處理6、無6、有無缺省的超級用戶,7、無7、后無超級密碼？8、密碼錯誤后尢限制？9、密碼復雜性（如規(guī)定字符應混有大、小寫 字母、數(shù)字和特殊字符）8、有9

7、、有切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case005沒有被驗證的輸入Summary:檢驗輸入驗證Steps1、數(shù)據(jù)類型（字符串，整型，實數(shù)，等）2、允許的字符集3、取小和最大的長度4、是否允許空輸入5、參數(shù)是否是必須的6、重復是否允許7、數(shù)值范圍8、特定的值（枚舉型）9、特定的模式（正則表送式）Expected Results對上述輸入有控制切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Re

8、sults,得出測試結論Test Case006訪問控制Summary:檢驗訪問控制Steps1、用于需要驗證用戶身份以及權限的頁面， 復制該貝囿的url地址，關閉該貝囿以后，查 看是否可以直接進入該復制好的地址例：從一個貝囿鏈到另一個貝囿的間隙可以 看到URL地址，直接輸入該地址，可以看到 自己沒有權限的頁面信息Expected Results1、不能進入切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)行每一步 Steps時，請參照對應編號的 Expected Results 得出測試結論Test Case007輸入框驗證Summary: 驗證輸入框是否經驗證Steps對

9、Grid、Label> Tree view類的輸入框未作驗證，輸入的內容會按照html語法解析出來Expected Results對上述輸入有控制切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results得出測試結論Test Case008關鍵數(shù)據(jù)加密Summary: 是否對關鍵數(shù)據(jù)進仃加醬Steps1、登錄界囿密他輸入框中輸入密他,貝囿顯示的是*，右鍵，查看源文件是否可以看見剛才輸入的密碼Expected Results1、不能看到切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步S

10、teps時，請參照對應編號的 Expected Results得出測試結論Test Case009認證請求方式Summary: 檢驗認證請求方式Steps1、認證和會話數(shù)據(jù)是否使用POST方式,而非GET方式Expected Results1、采用 POST E切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results得出測試結論Test Case010 SQL 注入Summary:檢驗是含存在SQL注入Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor

11、：說明：執(zhí)行每一步 Steps時，請參照對應編號的 Expected Results 得出測試結論Test Case011文件上傳風險Summary:Steps Expected Results1、1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case012功能失效、異常帶來的安全風險Summary:Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expecte

12、d Results,得出測試結論Test Case013操作日志檢查Summary:Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case014登錄次數(shù)限制Summary:Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case015 IE 回退按鈕Summar

13、y:Steps1、退出系統(tǒng)后，點擊IE回退按鈕，能否重 新回到系統(tǒng)中Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results得出測試結論Test Case016通信保密性Summary:Steps1、測試主要應用系統(tǒng)， 查看當通信雙方中的 一方在一段時間內未作任何響應，另一方是 否能自動結束會話；系統(tǒng)是否能在通信雙方 建立會話之前，利用密碼技術進行會話初始 化驗證（如SSL建立加密通道前是否利用密 碼技術進行會話初始驗證）；在通信過程中， 是否對整個報文或會話過程進行加密；

14、2、測試主要應用系統(tǒng)， 通過通信雙方中的一 方在一段時間內未作任何響應，查看另一方 是否能自動結束會話，測試當通信雙方中的 一方在一段時間內未作任何響應，另一方是 否能自動結束會話的功能是否有效；3、測試主要應用系統(tǒng)， 通過查看通信雙方數(shù) 據(jù)包的內容，查看系統(tǒng)在通信過程中，對整 個報文或會話過程進行加密的功能是否有 效。Expected Results1、切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case017通信保密性Summary:Steps1、a）應限制單個用戶的多重并

15、發(fā)會話；b）應對應用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應對一個時間段內可能的并發(fā)會話連接 數(shù)進行限制；d）應根據(jù)安全策略設置登錄終端的操作超 時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止 方式；e）應禁止同一用戶賬號在同一時間內并發(fā) 登錄；f）應對一個訪問用戶或一個請求進程占用 的資源分配最大限額和最小限額；g）應根據(jù)安全屬性（用戶身份、訪問地址、 時間范圍等）允許或拒絕用戶建立會話連接； h）當系統(tǒng)的服務水平降低到預先規(guī)定的最Expected Results1、小值時，應能檢測和報警；i）應根據(jù)安全策略設定主體的服務優(yōu)先級， 根據(jù)優(yōu)先級分配系統(tǒng)資源，保證優(yōu)先級低的 主體處理能力不會影響到優(yōu)先級

16、高的主體的 處理能力。切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case018數(shù)據(jù)備份和恢復Summary:Steps1、a）應提供自動備份機制對重要信息進行 本地和異地備份；b）應提供恢復重要信息的功能；c）應提供重要網絡設備、 通信線路和服務器 的硬件冗余；d）應提供重要業(yè)務系統(tǒng)的本地系統(tǒng)級熱備 份。Expected Results1、切兄法Pass/Fail：Test NotesAuthor：2、服務器安全性說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected

17、 Results,得出測試結論Test Case001Summary:操作系統(tǒng)賬戶Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case002文件分區(qū)格式Summary:Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，請參照對應編號的 Expected Results,得出測試結論Test Case003中間件密碼Summary:Steps1、Expected Results1、無效切兄法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每步Steps時，