安全性測試用例

1、安全性測試用例1、WEB系統(tǒng)安全性說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test CaseOOl :客戶端驗證，服務(wù)器端驗證（禁用腳本調(diào)試，禁用 Cookies）Summary :檢驗系統(tǒng)權(quán)限設(shè)置的有效性Steps :1、輸入很大的數(shù)（如 4,294,967,269），輸入很小的數(shù)（負數(shù)）。2、輸入超長字符，如對輸入文字長度有限制，則嘗試超過限制，剛好到達限制字數(shù)時有何 反應(yīng)。3、輸入特殊字符如：!#$%人&*（）_+：” |4、輸入中英文空格，輸入字符串中間含空格，輸入首尾空格5、輸入特殊字符串 NULL,null , OxOd 0x0

2、a6、輸入正常字符串7、 輸入與要求不冋類型的字符，如：要求輸 入數(shù)字則檢查正值，負值,零值（正零，負零）， 小數(shù),字母,空值；要求輸入字母則檢查輸入 數(shù)字8、輸入 html 和 javascript 代碼9、某些需登錄后或特殊用戶才能進入的頁 面,是否可以通過直接輸入網(wǎng)址的方式進入；10、對于帶參數(shù)的網(wǎng)址，惡意修改其參數(shù)，（若為數(shù)字,則輸入字母，或很大的數(shù)字，或輸入特 殊字符等）后打開網(wǎng)址是否出錯，是否可以非法進入某些頁面；Expected Results :1、輸入的驗證碼錯誤。2、輸入的驗址碼過長。3、輸入的驗證碼錯誤。4、輸入的驗證碼錯誤。5、輸入的驗證碼錯誤。6、輸入的驗證碼正確，成

3、功登陸系統(tǒng)。7、輸入的驗證碼錯誤。&輸入的驗證碼錯誤。9、系統(tǒng)權(quán)限設(shè)置是有效的。場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case002 :關(guān)于 URLSummary :檢驗系統(tǒng)防范非法入侵的能力Steps :1、某些需登錄后或特殊用戶才能進入的頁 面,是否可以通過直接輸入網(wǎng)址的方式進入；2、對于帶參數(shù)的網(wǎng)址，惡意修改其參數(shù)，（若為 數(shù)字,則輸入字母，或很大的數(shù)字，或輸入特殊 字符等）后打開網(wǎng)址是否出錯，是否可以非法 進入頁面；3、 搜索頁面等url中含有關(guān)鍵字的，輸入

4、 html代碼或JavaScript 看是否在頁面中顯 示或執(zhí)行。4、輸入善意字符。Expected Results :1、不可以直接通過直接輸入網(wǎng)址的方式進入。2、對于帶參數(shù)的網(wǎng)址，惡意修改其參數(shù)，（若為數(shù)字,則輸入字母，或很大的數(shù)字，或輸 入特殊字符等）后打開網(wǎng)址出錯，不可以 非法進入頁面。3、輸入html代碼或JavaScript 看是不會在頁面中顯示或執(zhí)行。4、正常進入頁面。5、系統(tǒng)防范非法入侵的能力強。場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case00

5、3 :日志記錄的完整性Summary :檢驗系統(tǒng)運行的時候是否會記錄完整的日志Steps :Expected Results :1、進行詳單查詢，檢測系統(tǒng)是否會記錄1、系統(tǒng)會記錄相應(yīng)的操作員。相應(yīng)的操作員。2、系統(tǒng)會記錄相應(yīng)的操作時間。2、進行詳單查詢，檢測系統(tǒng)是否會記錄3、系統(tǒng)會記錄相應(yīng)的系統(tǒng)的狀態(tài)。相應(yīng)的操作時間。4、系統(tǒng)會記錄相應(yīng)的操作事項。3、進行詳單查詢，檢測系統(tǒng)是否會記錄5、系統(tǒng)會記錄相應(yīng)的IP地址。相應(yīng)的系統(tǒng)的狀態(tài)。6、系統(tǒng)運行的時候會記錄完整的日志4、進行詳單查詢，檢測系統(tǒng)是否會記錄 相應(yīng)的操作事項。5、進行詳單查詢，檢測系統(tǒng)是否會記錄 相應(yīng)的ip地址等。場景法Pass/Fai

6、lTestNotes :Author說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case004 :軟件安全性測試涉及的方面Summary :檢驗系統(tǒng)的數(shù)據(jù)備份Steps :1、是否設(shè)置密碼最小長度2、用戶名和密碼是否可以有空格和回車？3、是否允許密碼和用戶名一致4、防惡意注冊：可含用自動填表工具自動注 冊用戶？5、遺忘密碼處理6、有無缺省的超級用戶？7、有無超級密碼？8、密碼錯誤有無限制？Expected Results :1、是。2、不可以3、否4、不可以5、是6、無7、無8、有9、有9、密碼復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫 字母、

7、數(shù)字和特殊字符）場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case005 :沒有被驗證的輸入Summary :檢驗輸入驗證Steps :1、數(shù)據(jù)類型（字符串，整型，實數(shù)，等）2、允許的字符集3、取小和取大的長度4、是否允許空輸入5、參數(shù)是否是必須的6、重復(fù)是否允許7、數(shù)值范圍8、特定的值（枚舉型）9、特定的模式（正則表達式）Expected Results :對上述輸入有控制場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時

8、，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case006 :訪問控制Summary :檢驗訪問控制Steps :1、用于需要驗證用戶身份以及權(quán)限的頁面， 復(fù)制該頁面的url地址，關(guān)閉該頁面以后， 查看是否可以直接進入該復(fù)制好的地址 例：從一個頁面鏈到另一個頁面的間隙可以 看到URL地址，直接輸入該地址，可以看到 自己沒有權(quán)限的頁面信息Expected Results :1、不能進入場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case007

9、 :輸入框驗證Summary :驗證輸入框是否經(jīng)驗證Steps :對Grid、Label、Tree view 類的輸入框未作驗證，輸入的內(nèi)容會按照html語法解析出來Expected Results :對上述輸入有控制場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case008 :關(guān)鍵數(shù)據(jù)加密Summary :是否對關(guān)鍵數(shù)據(jù)進行加密Steps :1、登錄界面密碼輸入框中輸入密碼，頁面顯示的是* ,右鍵，查看源文件是否可以看 見剛才輸入的密碼Expected Result

10、s :1、不能看到場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case009 :認證請求方式Summary :檢驗認證請求方式Steps :1、認證和會話數(shù)據(jù)是否使用POST方式，而非GET方式Expected Results :1、采用POST方式場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case010 : SQL 注入Summary :檢驗

11、是否存在SQL注入Steps :1、Expected Results :1、無效場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case011 :文件上傳風險Summary :Steps :1、Expected Results :1、無效場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每-結(jié)論步 Steps時，請參照對應(yīng)編號的 Expected Results ，得出測試Test Case012:功能失效、異常帶來的安全風險Summary :St

12、eps :Expected Results :1、1、無效場景法Pass/Fail :Test Notes :Author :結(jié)論Test Case013 :操作日志檢杳Summary :Steps :1、Expected Results :1、無效場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case014:登錄次數(shù)限制Summary :Steps :Expected Results :1、1、無效場景法Pass/Fail :Test Notes :Author :說明：

13、執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試 結(jié)論Test Case015 : IE 回退按鈕Summary :1、退出系統(tǒng)后，點擊 IE回退按鈕，能否重 新回到系統(tǒng)中1、無效場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case016 :通信保密性Summary :Steps :1、測試主要應(yīng)用系統(tǒng)， 查看當通信雙方中的 一方在一段時間內(nèi)未作任何響應(yīng)，另一方是 否能自動結(jié)束會話；系統(tǒng)是否能在通信雙方 建立會話之前，利用密碼技術(shù)進行會

14、話初始 化驗證（如SSL建立加密通道前是否利用密 碼技術(shù)進行會話初始驗證）；在通信過程中， 是否對整個報文或會話過程進行加密；2、測試主要應(yīng)用系統(tǒng)， 通過通信雙方中的一 方在一段時間內(nèi)未作任何響應(yīng)，查看另一方 是否能自動結(jié)束會話，測試當通信雙方中的 一方在一段時間內(nèi)未作任何響應(yīng)，另一方是否能自動結(jié)束會話的功能是否有效；3、測試主要應(yīng)用系統(tǒng)， 通過查看通信雙方數(shù) 據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對整 個報文或會話過程進行加密的功能是否有效。Expected Results :1、場景法Pass/Fail :Test Notes :Author :結(jié)論Test Case017 :通信保密性Sum

15、mary :Steps :1、a）應(yīng)限制單個用戶的多重并發(fā)會話；b）應(yīng)對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進 行限制；c）應(yīng)對一個時間段內(nèi)可能的并發(fā)會話連接 數(shù)進行限制；d）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超 時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止 方式；e）應(yīng)禁止冋一用戶賬號在冋一時間內(nèi)并發(fā) 登錄；f）應(yīng)對一個訪問用戶或一個請求進程占用的 資源分配最大限額和最小限額；g）應(yīng)根據(jù)安全屬性（用戶身份、訪問地址、 時間范圍等）允許或拒絕用戶建立會話連接；h）當系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最 小值時，應(yīng)能檢測和報警；i）應(yīng)根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級， 根據(jù)優(yōu)先級分配系統(tǒng)資源，保證優(yōu)先級低的 主體處

16、理能力不會影響到優(yōu)先級高的主體的 處理能力。Expected Results :1、場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試 結(jié)論Test Case018 :數(shù)據(jù)備份和恢復(fù)Summary :Steps :1、a）應(yīng)提供自動備份機制對重要信息進行 本地和異地備份；b）應(yīng)提供恢復(fù)重要信息的功能；c）應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器 的硬件冗余；d）應(yīng)提供重要業(yè)務(wù)系統(tǒng)的本地系統(tǒng)級熱備 份。Expected Results :1、場景法Pass/FailTest Notes :Au

17、thor :2、服務(wù)器安全性說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case001 :Summary :操作系統(tǒng)賬戶Steps :1、Expected Results :1、無效場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case002 :文件分區(qū)格式SummarySteps :1、Expected Results :1、無效場景法Pass/FailTest Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected Results ，得出測試結(jié)論Test Case003 :中間件密碼Summary :Steps :1、Expected Results :1、無效場景法Pass/Fail :Test Notes :Author :說明：執(zhí)行每一步Steps時，請參照對應(yīng)編號的Expected