性能和安全系統(tǒng)性測(cè)試地主要測(cè)試內(nèi)容

1、性能測(cè)試的主要測(cè)試內(nèi)容是什么？軟件測(cè)試基準(zhǔn)測(cè)試： 比較新的或未知測(cè)試對(duì)象與已知參照標(biāo)準(zhǔn)（如現(xiàn)有軟件或評(píng)測(cè)標(biāo)準(zhǔn)）的性能。爭(zhēng)用測(cè)試： 核實(shí)測(cè)試對(duì)象對(duì)于多個(gè)主角對(duì)相同資源（數(shù)據(jù)記錄、內(nèi)存等）的請(qǐng)求的處理是 否可以接受。性能酉己置： 核實(shí)在操作條件保持不變的情況下，測(cè)試對(duì)象在使用不同酉己置時(shí)其性能彳亍為的 可接受性。負(fù)載測(cè)試（Load Test）-是一種性能測(cè)試，指數(shù)據(jù)在超負(fù)荷環(huán)境中運(yùn)彳亍，程序是否能夠承 擔(dān)。核實(shí)在保持己己置不變的情況下，測(cè)試對(duì)象在不同操作條件（如不同用戶數(shù)、事務(wù)數(shù)等） 下性能行為的可接受性。強(qiáng)度測(cè)試 Stress Testing -核實(shí)測(cè)試對(duì)象性能行為在異?；驑O端條件（如資源減少或

2、用戶 數(shù)過多）之下的可接受性。強(qiáng)度測(cè)試在系統(tǒng)資源特別低的情況下軟件系統(tǒng)運(yùn)行情況，目的是 找到系統(tǒng)在哪里失效以及如何失效的地方。強(qiáng)度測(cè)試包括： Spike testing：短時(shí)間的極端負(fù)載測(cè)試 Extreme testing：在過量用戶下的負(fù)載測(cè)試 Hammer testing：連續(xù)執(zhí)行所有能做的操作容量測(cè)試（Volume Test）:確定系統(tǒng)可處理同時(shí)在線的最大用戶數(shù)關(guān)注點(diǎn)：how much （而不是how fast）容量測(cè)試，通常和數(shù)據(jù)庫有關(guān)，容量和負(fù)載的區(qū)別在于：容量關(guān)注的是大容量，而不需要表 現(xiàn)實(shí)際的使用。安全性測(cè)試的內(nèi)容一個(gè)完整的 WEB 安全性測(cè)試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份

3、驗(yàn)證、授權(quán)、己己置管理、敏感數(shù)據(jù)、會(huì)話管理、加密。參數(shù)操作、 異常管理、審核和日志記錄等幾個(gè)方面入手。安全體系測(cè)試1）部署與基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)是否提供了安全的通信部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi) 部的防火墻部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么目標(biāo)環(huán)境支持怎樣的信任級(jí)別2）輸入驗(yàn)證如何驗(yàn)證輸入是否清楚入口點(diǎn)是否清楚信任邊界是否驗(yàn)證Web頁輸入是否對(duì)傳遞到組件或 Web 服務(wù)的參數(shù)進(jìn)彳亍驗(yàn)證是否驗(yàn)證從數(shù)據(jù)庫中檢索的數(shù)據(jù)是否將方法集中起來是否依賴客戶端的驗(yàn)證應(yīng)用程序是否易受SQL 注入攻擊應(yīng)用程序是否易受XSS攻擊如 何處理輸入3）身份驗(yàn)證是否區(qū)分公共訪問和受限訪問是否明確服務(wù)帳戶

4、要求如 何驗(yàn)證調(diào)用 者身 份如 何驗(yàn)證數(shù) 據(jù)庫的 身 份是否強(qiáng)制試用帳戶管理措施4）授權(quán)如何向最終用戶授權(quán)如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序如何將訪問限定于系統(tǒng)級(jí)資源5）酉己置管理是否支持遠(yuǎn)程管理是否保證酉己置存儲(chǔ)的安全是否隔離管理員特權(quán)6）敏感數(shù)據(jù)是否存儲(chǔ)機(jī)密信息如 何存儲(chǔ)敏感 數(shù) 據(jù)是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)是否記錄敏感數(shù)據(jù)7）會(huì)話管理如 何 交 換會(huì)話標(biāo)識(shí)符是否限制會(huì)話生存期如何確保會(huì)話存儲(chǔ)狀態(tài)的安全8）加密為何使用特定的算法如 何確保 加 密密鑰 的 安全 性9）參數(shù)操作是否驗(yàn)證所有的輸入?yún)?shù)是否在參數(shù)過程中傳遞敏感數(shù)據(jù)是否為了安全問題而使用 HTTP 頭數(shù)據(jù)10）異常管理是否使用結(jié)構(gòu)化的異常處

5、理是否向客戶端公開了太多的信息11）審核和日志記錄是否明確了要審核的活動(dòng)是否考慮如何流動(dòng)原始調(diào)用這身份應(yīng)用及傳輸安全WEB 應(yīng)用系統(tǒng)的安全性從使用角度可以分為應(yīng)用級(jí)的安全與傳輸級(jí) 的安全，安全性測(cè)試也可以從這兩方面入手。應(yīng)用級(jí)的安全測(cè)試的主要目的是查找 Web 系統(tǒng)自身程序設(shè)計(jì)中存在 的安全隱患，主要測(cè)試區(qū)域如下。注冊(cè)與登陸：現(xiàn)在的 Web 應(yīng)用系統(tǒng)基本采用先注冊(cè)，后登錄的方式。必須測(cè)試有效和無效的用戶名和密碼要注意是否存在大小寫敏感，可以嘗試多少次的限制是否可以不登錄而直接瀏覽某個(gè)頁面等。在線超時(shí)：Web 應(yīng)用系統(tǒng)是否有超時(shí)的限制，也就是說，用戶登陸 一定時(shí)間內(nèi)（例如15分鐘）沒有點(diǎn)擊任何頁

6、面，是否需要重新登 陸才能正常使用。操作留痕：為了保證 Web 應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要 的。需要測(cè)試相關(guān)信息是否寫進(jìn)入了日 志文件，是否可追蹤。備份與恢復(fù)：為了防范系統(tǒng)的意外崩潰造成的數(shù)據(jù)丟失，備份與恢 復(fù)手段是一個(gè) Web 系統(tǒng)的必備功能。備份與恢復(fù)根據(jù) Web 系統(tǒng)對(duì)安 全性的要求可以采用多種手段，如數(shù)據(jù)庫增量備份、數(shù)據(jù)庫完全 備份、系統(tǒng)完全備份等。出于更高的安全性要求，某些實(shí)時(shí)系統(tǒng)經(jīng) 常會(huì)采用雙機(jī)熱備或多級(jí)熱備。除了對(duì)于這些備份與恢復(fù)方式進(jìn) 彳亍驗(yàn)證測(cè)試以外，還要評(píng)估這種備份與恢復(fù)方式是否滿足Web系統(tǒng) 的安全性需求。傳輸級(jí)的安全測(cè)試是考慮到Web系統(tǒng)的傳輸?shù)奶厥庑?，重點(diǎn)測(cè)

7、試數(shù) 據(jù)經(jīng)客戶端傳送到服務(wù)器端可能存在的安全漏洞，以及服務(wù)器防范 非法訪問的能力。一般測(cè)試項(xiàng)目包括以下幾個(gè)方面。HTTPS 和SSL測(cè)試：默認(rèn)的 情況下，安全HTTP ( Soure HTTP )通過 安全套接字SSL ( Source Socket Layer ) 協(xié)議在 端口 443 上使用 普通的HTTP。HTTPS 使用的公共密鑰的加密長(zhǎng)度決定的HTTPS 的安 全級(jí)別，但從某種意義上來說，安全性的保證是以損失性能為代價(jià) 的。除了還要測(cè)試加密是否正確，檢查信息的完整性和確認(rèn)HTTPS 的安全級(jí)別外，還要注意在此安全級(jí)別下，其性能是否達(dá)到要求。服務(wù)器端的腳本漏洞檢查：存在于服務(wù)器端的腳本常常構(gòu)成安全漏 洞，這些漏洞又往往被黑客利用。所以，還要測(cè)試沒有經(jīng)過授權(quán)， 就不能在服務(wù)器端放置和編輯腳本的問題。防火墻測(cè)試：防火墻是一種主要用于防護(hù)非法訪問的路由器，在 Web 系統(tǒng)中是很常用的一種安全系統(tǒng)。防火墻測(cè)試是一個(gè)很大很專業(yè)的 課題。這里所涉及的只是對(duì)防火墻功能、設(shè)置進(jìn)彳亍測(cè)試，以判斷本 Web系統(tǒng)的安全需求。另推薦安全性測(cè)試工具：Watchfire AppScan : 商業(yè)網(wǎng)頁漏洞掃描器(此工具好像被IBM 收購(gòu) 了，所以推