安全性測試用例_第1頁
安全性測試用例_第2頁
安全性測試用例_第3頁
安全性測試用例_第4頁
安全性測試用例_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、安全性測試用例1、WEB系統(tǒng)安全性說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults得出測試結(jié)論TestCase001客戶端驗(yàn)證,服務(wù)器端驗(yàn)證(禁用腳本調(diào)試,禁用Cookies)Summary:檢驗(yàn)系統(tǒng)權(quán)限設(shè)置的后效性Steps1、輸入很大的數(shù)(如4,294,967,269),輸入很小的數(shù)(負(fù)數(shù))。2、輸入超長字符,如對(duì)輸入文字長度有限制,則嘗試超過限制,剛好到達(dá)限制字?jǐn)?shù)時(shí)有何反應(yīng)。3、輸入特殊字符如:!#$%人&*()_+:|4、輸入中英文空格,輸入字符串中間含空格,輸入首尾空格5、輸入特殊字符串NULL,null,0x0d0x0a6、輸入正常字符串7、輸入與要求不同

2、類型的字符,如:要求輸入數(shù)字則查止值,負(fù)值,零值(正零,負(fù)零),小數(shù),字母,空值;要求輸入字母則檢查輸入數(shù)字8、輸入html和javascript代碼9、某些需登錄后或特殊用戶才能進(jìn)入的頁面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入;10、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入某些頁面;ExpectedResults1、輸入的驗(yàn)證碼錯(cuò)誤。2、輸入的驗(yàn)證碼過長。3、輸入的驗(yàn)證碼錯(cuò)誤。4、輸入的驗(yàn)證碼錯(cuò)誤。5、輸入的驗(yàn)證碼錯(cuò)誤。6、輸入的驗(yàn)證碼正確,成功登陸系統(tǒng)。7、輸入的驗(yàn)證碼錯(cuò)誤。8、輸入的驗(yàn)證碼錯(cuò)誤。9、系統(tǒng)權(quán)

3、限設(shè)置是肩效的。切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase002關(guān)于URLSummary:檢驗(yàn)系統(tǒng)防范非法入侵的能力Steps1、某些需登錄后或特殊用戶才能進(jìn)入的頁面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入;ExpectedResults1、/、口以直接通過直接輸入網(wǎng)址的方式進(jìn)入。2、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入頁面;3、搜索貝囿等url中含后美鍵字的,輸入html代碼或JavaSc

4、ript看是否在頁面中顯示或執(zhí)行。4、輸入善意字符。2、對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址出錯(cuò),不可以非法進(jìn)入頁面。3、輸入html代碼或JavaScript看是不會(huì)在頁面中顯示或執(zhí)行。4、正常進(jìn)入頁面。5、系統(tǒng)防范非法入侵的能力強(qiáng)。切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)行每一步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults得出測試結(jié)論TestCase003日志記錄的完整性Summary:檢驗(yàn)系統(tǒng)運(yùn)行的時(shí)候是否會(huì)記錄完整的日志StepsExpectedResults1、進(jìn)行詳單查詢,檢測

5、系統(tǒng)是否會(huì)記錄相應(yīng)的操作員。1、 系統(tǒng)會(huì)記錄相應(yīng)的操作員。2、 系統(tǒng)會(huì)記錄相應(yīng)的操作時(shí)間。2、進(jìn)行詳單查詢,檢測系統(tǒng)是否會(huì)記錄相應(yīng)的操作時(shí)間。3、 系統(tǒng)會(huì)記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、 系統(tǒng)會(huì)記錄相應(yīng)的操作事項(xiàng)。3、進(jìn)行詳單查詢,檢測系統(tǒng)是否會(huì)記錄5、系統(tǒng)會(huì)記錄相應(yīng)的IP地址。相應(yīng)的系統(tǒng)的狀態(tài)。4、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會(huì)記錄相應(yīng)的操作事項(xiàng)。5、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會(huì)記錄相應(yīng)的IP地址等。6、系統(tǒng)運(yùn)行的時(shí)候會(huì)記錄完整的日志場景法Pass/Fail:|TestNotesAuthor:說明:執(zhí)行每一步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCas

6、e004軟件安全性測試涉及的方面Summary:檢驗(yàn)系統(tǒng)的數(shù)據(jù)備份StepsExpectedResults1、是否設(shè)置密碼最小長度1、是。2、用戶名和密碼是否可以有空格和回車,2、/、可以3、是否允許密碼和用戶名一致3、否4、防惡意注冊:可含用自動(dòng)填表工具自動(dòng)注4、不可以冊用戶?5、是5、遺傳密碼處理6、無6、有無缺省的超級(jí)用戶,7、無7、后無超級(jí)密碼?8、密碼錯(cuò)誤后尢限制?9、密碼復(fù)雜性(如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符)8、有9、有切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論T

7、estCase005沒有被驗(yàn)證的輸入Summary:檢驗(yàn)輸入驗(yàn)證Steps1、數(shù)據(jù)類型(字符串,整型,實(shí)數(shù),等)2、允許的字符集3、取小和最大的長度4、是否允許空輸入5、參數(shù)是否是必須的6、重復(fù)是否允許7、數(shù)值范圍8、特定的值(枚舉型)9、特定的模式(正則表送式)ExpectedResults對(duì)上述輸入有控制切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase006訪問控制Summary:檢驗(yàn)訪問控制Steps1、用于需要驗(yàn)證用戶身份以及權(quán)限的頁面,復(fù)制該貝囿的url地址,關(guān)閉該貝囿以

8、后,查看是否可以直接進(jìn)入該復(fù)制好的地址例:從一個(gè)貝囿鏈到另一個(gè)貝囿的間隙可以看到URL地址,直接輸入該地址,可以看到自己沒有權(quán)限的頁面信息ExpectedResults1、不能進(jìn)入切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)行每一步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults得出測試結(jié)論TestCase007輸入框驗(yàn)證Summary:驗(yàn)證輸入框是否經(jīng)驗(yàn)證Steps對(duì)Grid、Label、Treeview類的輸入框未作驗(yàn)證,輸入的內(nèi)容會(huì)按照html語法解析出來ExpectedResults對(duì)上述輸入有控制切兄法Pass/Fail:TestNotesAutho

9、r:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase008關(guān)鍵數(shù)據(jù)加密Summary:是否對(duì)關(guān)鍵數(shù)據(jù)進(jìn)仃加醬Steps1、登錄界囿密他輸入框中輸入密他,貝囿顯示的是*,右鍵,查看源文件是否可以看見剛才輸入的密碼ExpectedResults1、不能看到切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase009認(rèn)證請求方式Summary:檢驗(yàn)認(rèn)證請求方式Steps1、認(rèn)證和會(huì)話數(shù)據(jù)是否使用POST方式,而非GET方式Expected

10、Results1、采用POSTE切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase010SQL注入Summary:檢驗(yàn)是含存在SQL注入Steps1、ExpectedResults1、無效切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)行每一步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults得出測試結(jié)論TestCase011文件上傳風(fēng)險(xiǎn)Summary:StepsExpectedResults1、1、無效切兄法Pass/Fail:TestNotesAuth

11、or:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase012功能失效、異常帶來的安全風(fēng)險(xiǎn)Summary:Steps1、ExpectedResults1、無效切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase013操作日志檢查Summary:Steps1、ExpectedResults1、無效切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測

12、試結(jié)論TestCase014登錄次數(shù)限制Summary:Steps1、ExpectedResults1、無效切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase015IE回退按鈕Summary:Steps1、退出系統(tǒng)后,點(diǎn)擊IE回退按鈕,能否重新回到系統(tǒng)中ExpectedResults1、無效切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults得出測試結(jié)論TestCase016通信保密性Summary:St

13、eps1、測試主要應(yīng)用系統(tǒng),查看當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方是否能自動(dòng)結(jié)束會(huì)話;系統(tǒng)是否能在通信雙方建立會(huì)話之前,利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證(如SSL建立加密通道前是否利用密碼技術(shù)進(jìn)行會(huì)話初始驗(yàn)證);在通信過程中,是否對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密;2、測試主要應(yīng)用系統(tǒng),通過通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),查看另一方是否能自動(dòng)結(jié)束會(huì)話,測試當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方是否能自動(dòng)結(jié)束會(huì)話的功能是否有效;3、測試主要應(yīng)用系統(tǒng),通過查看通信雙方數(shù)據(jù)包的內(nèi)容,查看系統(tǒng)在通信過程中,對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密的功能是否有效。ExpectedRes

14、ults1、切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase017通信保密性Summary:Steps1、a)應(yīng)限制單個(gè)用戶的多重并發(fā)會(huì)話;b)應(yīng)對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;c)應(yīng)對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制;d)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定,并規(guī)定解鎖或終止方式;e)應(yīng)禁止同一用戶賬號(hào)在同一時(shí)間內(nèi)并發(fā)登錄;f)應(yīng)對(duì)一個(gè)訪問用戶或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限額;g)應(yīng)根據(jù)安全屬性(用戶身份、訪問地址、時(shí)間范圍等)允許

15、或拒絕用戶建立會(huì)話連接;h)當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最ExpectedResults1、小值時(shí),應(yīng)能檢測和報(bào)警;i)應(yīng)根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級(jí),根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源,保證優(yōu)先級(jí)低的主體處理能力不會(huì)影響到優(yōu)先級(jí)高的主體的處理能力。切兄法Pass/Fail:TestNotesAuthor:說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase018數(shù)據(jù)備份和恢復(fù)Summary:Steps1、a)應(yīng)提供自動(dòng)備份機(jī)制對(duì)重要信息進(jìn)行本地和異地備份;b)應(yīng)提供恢復(fù)重要信息的功能;c)應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器的硬件冗余;d)應(yīng)提供重要業(yè)務(wù)系統(tǒng)的本地系統(tǒng)級(jí)熱備份。ExpectedResults1、切兄法Pass/Fail:TestNotesAuthor:2、服務(wù)器安全性說明:執(zhí)仃每步Steps時(shí),請參照對(duì)應(yīng)編號(hào)的ExpectedResults,得出測試結(jié)論TestCase001Summary:操作系統(tǒng)賬戶Steps1、ExpectedResults1、無效切兄法Pass/Fail:TestNotesAuthor:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論