安全性測試用例

1、安全性測試用例1、WEB系統(tǒng)安全性說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test CaseOOl客戶端驗(yàn)證，服務(wù)器端驗(yàn)證（禁用腳本調(diào)試，禁用 Cookies）Summary：檢驗(yàn)系統(tǒng)權(quán)限設(shè)置的有效性Steps1、輸入很大的數(shù)（如4,294,967,269），輸入很小的數(shù)（負(fù)數(shù)）。2、 輸入超長字符，如對(duì)輸入文字長度有限制， 則嘗試超過限制，剛好到達(dá)限制字?jǐn)?shù)時(shí)有何 反應(yīng)。3、輸入特殊字符如:!#$%人&*（）_+<>:” |4、輸入中英文空格，輸入字符串中間含空格， 輸入首尾空格5、輸入特殊字符串 NULL,null , O

2、xOd 0x0a6、輸入正常字符串7、 輸入與要求不冋類型的字符，如：要求輸 入數(shù)字則檢查正值，負(fù)值,零值（正零，負(fù)零）， 小數(shù),字母,空值；要求輸入字母則檢查輸入 數(shù)字8、輸入 html 和 javascript 代碼9、某些需登錄后或特殊用戶才能進(jìn)入的頁 面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入；10、對(duì)于帶參數(shù)的網(wǎng)址，惡意修改其參數(shù),（若 為數(shù)字,則輸入字母，或很大的數(shù)字，或輸入特 殊字符等）后打開網(wǎng)址是否出錯(cuò)，是否可以非 法進(jìn)入某些頁面；Expected Results1、輸入的驗(yàn)證碼錯(cuò)誤。2、輸入的驗(yàn)址碼過長。3、輸入的驗(yàn)證碼錯(cuò)誤。4、輸入的驗(yàn)證碼錯(cuò)誤。5、輸入的驗(yàn)證碼錯(cuò)誤。6、輸入的

3、驗(yàn)證碼正確，成功登陸系統(tǒng)。7、輸入的驗(yàn)證碼錯(cuò)誤。&輸入的驗(yàn)證碼錯(cuò)誤。9、系統(tǒng)權(quán)限設(shè)置是有效的。場景法Pass/Fail：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case002 關(guān)于 URLSummary：檢驗(yàn)系統(tǒng)防范非法入侵的能力Steps1、某些需登錄后或特殊用戶才能進(jìn)入的頁 面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入；Expected Results1、不可以直接通過直接輸入網(wǎng)址的方 式進(jìn)入。2、對(duì)于帶參數(shù)的網(wǎng)址，惡意修改其參數(shù),（若2、對(duì)于帶參數(shù)的網(wǎng)址，惡意修改其參數(shù),（若為數(shù)字,則輸入字母

4、，或很大的數(shù)字，或輸入特為數(shù)字，則輸入字母，或很大的數(shù)字，或輸殊字符等）后打開網(wǎng)址是否出錯(cuò)，是否可以非入特殊字符等）后打開網(wǎng)址出錯(cuò)，不可以法進(jìn)入頁面；非法進(jìn)入頁面。3、搜索頁面等 url中含有關(guān)鍵字的，輸入3、輸入html代碼或JavaScript看是不會(huì)html代碼或JavaScript看是否在頁面中顯在頁面中顯示或執(zhí)行。示或執(zhí)行。4、正常進(jìn)入頁面。4、輸入善意字符。5、系統(tǒng)防范非法入侵的能力強(qiáng)。場景法Pass/Fail：Test NotesAuthor:說明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case003日志記錄的完整性Summ

5、ary：檢驗(yàn)系統(tǒng)運(yùn)行的時(shí)候是否會(huì)記錄完整的日志StepsExpected Results1、進(jìn)行詳單查詢，檢測系統(tǒng)是否會(huì)記錄1、系統(tǒng)會(huì)記錄相應(yīng)的操作員。相應(yīng)的操作員。2、系統(tǒng)會(huì)記錄相應(yīng)的操作時(shí)間。2、進(jìn)行詳單查詢，檢測系統(tǒng)是否會(huì)記錄3、系統(tǒng)會(huì)記錄相應(yīng)的系統(tǒng)的狀態(tài)。相應(yīng)的操作時(shí)間。4、系統(tǒng)會(huì)記錄相應(yīng)的操作事項(xiàng)。3、進(jìn)行詳單查詢，檢測系統(tǒng)是否會(huì)記錄5、系統(tǒng)會(huì)記錄相應(yīng)的IP地址。相應(yīng)的系統(tǒng)的狀態(tài)。6、系統(tǒng)運(yùn)行的時(shí)候會(huì)記錄完整的日志4、進(jìn)行詳單查詢，檢測系統(tǒng)是否會(huì)記錄相應(yīng)的操作事項(xiàng)。5、進(jìn)行詳單查詢，檢測系統(tǒng)是否會(huì)記錄相應(yīng)的IP地址等。場景法Pass/Fail:Test NotesAuthor：說明：

6、執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case004軟件安全性測試涉及的方面Summary：檢驗(yàn)系統(tǒng)的數(shù)據(jù)備份StepsExpected Results1、是否設(shè)置密碼最小長度1、是。2、用戶名和密碼是否可以有空格和回車？2、不可以3、是否允許密碼和用戶名一致3、否4、防惡意注冊：可含用自動(dòng)填表工具自動(dòng)注4、不可以冊用戶？5、是5、遺忘密碼處理6、無6、有無缺省的超級(jí)用戶？7、無7、有無超級(jí)密碼？8、密碼錯(cuò)誤有無限制？9、密碼復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫 字母、數(shù)字和特殊字符）8、有9、有場景法Pass/Fail：Test Notes

7、Author：說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case005沒有被驗(yàn)證的輸入Summary：檢驗(yàn)輸入驗(yàn)證Steps1、數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）2、允許的字符集3、取小和取大的長度4、是否允許空輸入5、參數(shù)是否是必須的6、重復(fù)是否允許7、數(shù)值范圍8、特定的值（枚舉型）9、特定的模式（正則表達(dá)式）Expected Results 對(duì)上述輸入有控制場景法Pass/Fail：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case006訪問

8、控制Summary：檢驗(yàn)訪問控制Steps1、用于需要驗(yàn)證用戶身份以及權(quán)限的頁面， 復(fù)制該頁面的url地址，關(guān)閉該頁面以后，查 看是否可以直接進(jìn)入該復(fù)制好的地址 例：從一個(gè)頁面鏈到另一個(gè)頁面的間隙可以 看到URL地址，直接輸入該地址，可以看到 自己沒有權(quán)限的頁面信息Expected Results1、不能進(jìn)入場景法Pass/Fail：Test NotesAuthor:說明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case007輸入框驗(yàn)證Summary: 驗(yàn)證輸入框是否經(jīng)驗(yàn)證Steps對(duì)Grid、Label、Tree view類的輸入框未作驗(yàn)

9、 證，輸入的內(nèi)容會(huì)按照html語法解析出來Expected Results 對(duì)上述輸入有控制場景法Pass/Fail：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case008關(guān)鍵數(shù)據(jù)加密Summary：是否對(duì)關(guān)鍵數(shù)據(jù)進(jìn)仃加密Steps1、登錄界面密碼輸入框中輸入密碼，頁面顯示的是*,右鍵，查看源文件是否可以看見剛才輸入的密碼Expected Results1、不能看到場景法Pass/Fail：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results

10、得出測試結(jié)論Test Case009認(rèn)證請(qǐng)求方式Summary :檢驗(yàn)認(rèn)證請(qǐng)求方式Steps1、認(rèn)證和會(huì)話數(shù)據(jù)是否使用POST方式，而非GET方式Expected Results 1、采用POST方式場景法Pass/Fai ：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case010 SQL 注入Summary：檢驗(yàn)是否存在SQL注入Steps1、Expected Results1、無效場景法Pass/Fai ：Test NotesAuthor :說明：執(zhí)行每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expect

11、ed Results得出測試結(jié)論Test CaseOII文件上傳風(fēng)險(xiǎn)Summary：Steps Expected Results1、1、無效場景法Pass/Fai：Test NotesAuthor：說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case012功能失效、異常帶來的安全風(fēng)險(xiǎn)Summary：Steps1、Expected Results1、無效場景法Pass/Fai：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case013操作日志檢杳Sum

12、mary：Steps1、Expected Results1、無效場景法Pass/Fai：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case014登錄次數(shù)限制Summary：Steps1、Expected Results1、無效場景法Pass/Fai：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case015 IE 回退按鈕Summary：Steps1、退出系統(tǒng)后，點(diǎn)擊IE回退按鈕，能否重 新回到系統(tǒng)中Expecte

13、d Results1、無效場景法Pass/Fai ：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case016通信保密性Summary：Steps1、測試主要應(yīng)用系統(tǒng)， 查看當(dāng)通信雙方中的 一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方是 否能自動(dòng)結(jié)束會(huì)話；系統(tǒng)是否能在通信雙方 建立會(huì)話之前，利用密碼技術(shù)進(jìn)行會(huì)話初始 化驗(yàn)證（如SSL建立加密通道前是否利用密 碼技術(shù)進(jìn)行會(huì)話初始驗(yàn)證）；在通信過程中， 是否對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密；2、測試主要應(yīng)用系統(tǒng)， 通過通信雙方中的一 方在一段時(shí)間內(nèi)未作任何響應(yīng)，查看另一方

14、 是否能自動(dòng)結(jié)束會(huì)話，測試當(dāng)通信雙方中的 一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方是否能自動(dòng)結(jié)束會(huì)話的功能是否有效；3、測試主要應(yīng)用系統(tǒng)， 通過查看通信雙方數(shù) 據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對(duì)整 個(gè)報(bào)文或會(huì)話過程進(jìn)行加密的功能是否有效。Expected Results1、場景法Pass/Fail：Test NotesAuthor：說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case017通信保密性Summary：Steps1、a）應(yīng)限制單個(gè)用戶的多重并發(fā)會(huì)話；b）應(yīng)對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn) 行限制；c）應(yīng)對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)

15、話連接 數(shù)進(jìn)行限制；d）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超 時(shí)鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止 方式；e）應(yīng)禁止冋一用戶賬號(hào)在冋一時(shí)間內(nèi)并發(fā) 登錄；f）應(yīng)對(duì)一個(gè)訪問用戶或一個(gè)請(qǐng)求進(jìn)程占用 的資源分配最大限額和最小限額；g）應(yīng)根據(jù)安全屬性（用戶身份、訪問地址、 時(shí)間范圍等）允許或拒絕用戶建立會(huì)話連接；h）當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最Expected Results1、小值時(shí)，應(yīng)能檢測和報(bào)警；i）應(yīng)根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級(jí)， 根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源，保證優(yōu)先級(jí)低的 主體處理能力不會(huì)影響到優(yōu)先級(jí)高的主體的 處理能力。場景法Pass/Fail：Test NotesAuthor：說明：

16、執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case018數(shù)據(jù)備份和恢復(fù)Summary：Steps1、a）應(yīng)提供自動(dòng)備份機(jī)制對(duì)重要信息進(jìn)行 本地和異地備份；b）應(yīng)提供恢復(fù)重要信息的功能；c）應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器 的硬件冗余；d）應(yīng)提供重要業(yè)務(wù)系統(tǒng)的本地系統(tǒng)級(jí)熱備 份。Expected Results1、場景法Pass/Fai：Test NotesAuthor:2、服務(wù)器安全性說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case001Summary：操作系統(tǒng)賬戶Steps1、

17、Expected Results1、無效場景法Pass/Fai：Test NotesAuthor:說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case002文件分區(qū)格式Summary：Steps1、Expected Results1、無效場景法Pass/Fai：Test NotesAuthor：說明：執(zhí)仃每一步Steps時(shí)，請(qǐng)參照對(duì)應(yīng)編號(hào)的Expected Results得出測試結(jié)論Test Case003中間件密碼Summary：Steps1、Expected Results1、無效場景法Pass/Fai：Test NotesAuthor:說明：執(zhí)仃每一步Steps