網(wǎng)上商城的安全測試分析

論文題目：網(wǎng)上商城的安全測試分析目錄TOC\o"1-3"\u摘要 V1相關(guān)概述 11.1網(wǎng)上商城的背景 11.2網(wǎng)上商城的安全測試目的 11.3常見的測試方法 11.3.1功能測試 11.3.2性能測試 21.3.3安全測試 22需求分析 22.1系統(tǒng)設(shè)計目標 22.2商城系統(tǒng)可行性分析 32.2.1經(jīng)濟可行性 32.2.2技術(shù)可行性 32.3功能和性能的分析 32.3.1功能需求 32.3.2性能需求 33詳細設(shè)計及安全測試防范措施 43.1登錄模塊的設(shè)計 43.1.1.登錄模塊界面樣例圖 43.1.2登錄模塊流程圖 53.2權(quán)限管理模塊設(shè)計 63.2.1權(quán)限管理模塊樣例圖 63.2.2權(quán)限管理流程分析 73.3訂單管理模塊 83.3.1權(quán)限管理模塊樣例圖 83.3.2權(quán)限管理流程分析 94網(wǎng)上商城的安全測試防范措施 104.1系統(tǒng)所需的軟硬件環(huán)境 104.2測試用例的設(shè)計 104.2.1登錄頁面的用例設(shè)計 104.2.2權(quán)限頁面的用例設(shè)計 104.2.3訂單頁面的用例設(shè)計 114.3系統(tǒng)的安全測試分析 124.3.1程序加密設(shè)計 124.3.2數(shù)據(jù)庫設(shè)計 124.3.3頁面密碼密文的處理 134.3.4接口的安全測試 134.3.5性能測試 145結(jié)論與展望 155.1結(jié)論 155.2展望 15致謝 16參考文獻 17摘要網(wǎng)上商城不斷的增多，給人們帶來了極大的便利，但也不可避免的受到各種實際條件的制約.其中軟件開發(fā)人員無法準確的測試出商城存在的bug，因此測試人員融入是整個軟件開發(fā)過程中的必然要求，軟件測試的過程，極大的保障了系統(tǒng)的安全及數(shù)據(jù)和流程的準確性，大大提高了互聯(lián)網(wǎng)商城的穩(wěn)定發(fā)展。網(wǎng)上商城系統(tǒng)是采用Java語言編寫的平臺，以Mysql為數(shù)據(jù)庫，spring框架為主要技術(shù)來編寫。在商城的研發(fā)提交測試到上線驗收完成的過程中，主要包括單元測試、接口測試、集成測試、回收測試等方法來驗證商城流程和數(shù)據(jù)的準確性，也包括數(shù)據(jù)庫中數(shù)據(jù)的驗證、網(wǎng)絡(luò)商城支付方式的安全驗證、客戶信息的加密保護驗證等，從而保障商城系統(tǒng)的健壯性，可以安全穩(wěn)定運營。關(guān)鍵詞：網(wǎng)上商城MysqlSpring軟件測試1相關(guān)概述1.1網(wǎng)上商城的背景21世紀我國進入了全新的經(jīng)濟時代，信息、通信和網(wǎng)絡(luò)的飛速發(fā)展，傳統(tǒng)行業(yè)的發(fā)展也慢慢更加網(wǎng)絡(luò)化，使得從傳統(tǒng)線下模式改變運營軌道進入網(wǎng)絡(luò)銷售的模式，使得產(chǎn)品通過這個平臺更快速的宣傳、縮短了客戶與供應商之間的距離。隨著互聯(lián)網(wǎng)技術(shù)的興起和快速發(fā)展，網(wǎng)絡(luò)慢慢地深入人心，各種網(wǎng)站也應運而生：方便學習的教育網(wǎng)站、不出門可知天下事的新聞網(wǎng)站，方便快捷的購物網(wǎng)站，各種不同的網(wǎng)站正在充斥著我們的視野，滿足著人們的需求。其中購物網(wǎng)站包括：京東、1號店、淘寶網(wǎng)、唯品會等，使得用戶可以更方便的在網(wǎng)上購物，不僅節(jié)省了出門的時間和路費，并且可以在網(wǎng)上貨比三家。1.2網(wǎng)上商城的安全測試目的之前小米800萬用戶數(shù)據(jù)泄露個人信息，疑似小米論壇用戶數(shù)據(jù)庫泄露，涉及800萬用戶，并且在網(wǎng)上廣泛傳播及下載，大量用戶資料可被用來訪問小米服務獲取更多的用戶資料，包括通訊錄、短信、照片等多項內(nèi)容。安徽陳女士在網(wǎng)購時被騙子發(fā)送的一條QQ鏈接，誘導進入超級網(wǎng)銀授權(quán)的支付操作，在沒有任何提示的情況下，24秒內(nèi)轉(zhuǎn)走10萬元被騙。對于現(xiàn)代商業(yè)社會中的網(wǎng)絡(luò)詐騙、客戶信息被盜、網(wǎng)購欺騙等問題的相應出現(xiàn)，不僅用戶的財產(chǎn)遭到破壞，而且公司的利益及誠信也遭到侵略和損失，因此不僅需要在軟件使用過程中提高警惕的同時，軟件系統(tǒng)的安全測試也是必不可少的手段，非常有必要的去保障網(wǎng)絡(luò)和消費者之間的權(quán)益。1.3常見的測試方法網(wǎng)上商城健康穩(wěn)定運行的必需條件就是軟件安全，安全測試則是必要行徑之一，對于網(wǎng)上商城的安全測試，我們分析后有以下幾種方法：1.3.1功能測試在網(wǎng)上商城的設(shè)計實施中，需要經(jīng)過注冊、登錄、支付、接口等一系列流程的測試.主要包以下幾個方面：頁面流程:首先在注冊和登錄時，我們采用安全性較高的瀏覽器，對用戶名的有效性、密碼的強度是否使用字母數(shù)字組合或大小寫字母混合的方式等進行驗證，且加入圖形或算數(shù)、短信的驗證碼方式進行增強復雜度；且頁面在登錄成功后一定的時間之后會直接下線，需要用戶重新登錄。支付測試:商城購物在訂單支付時，一方面，客戶端需要綁定銀行卡、充值到賬戶和提現(xiàn)等功能來提供從銀行卡與賬戶之間的傳輸；另一方面需要客戶購買商品后進行支付交易的過程；因此在支付時，需要驗證網(wǎng)銀支付、手機支付、支付寶、微信、信用卡支付、優(yōu)惠券兌換等單個方式或多個方式的組合支付，驗證支付前后的狀態(tài)，數(shù)據(jù)金額；且支付頁面在一定時間之后超時，則需要提示重新登錄來進行交易。接口測試:接口是通過工具或HTTP請求的接收與發(fā)送，驗證客戶端與服務端的請求與返回數(shù)據(jù)的正確性，來保護接口之間的安全性；通常我們使用Jmeter、Postman等工具來進行接口測試，使用必傳和非必傳、參數(shù)長度、數(shù)值類型、特殊字符&%@#等、字符串類型、數(shù)組、正常和異常、有、無和為空，以及參數(shù)組合來作為入?yún)⒌恼埱?，查驗出參所返回的?shù)據(jù)，并且考慮接口的加密處理、前后端數(shù)據(jù)傳輸、日志信息、防刷機制，才能有效的保證接口之間的正常傳輸。1.3.2性能測試通常我們使用Loadrunner、Jmeter等工具來測試商城的性能，主要考慮響應時間、吞吐量、并發(fā)數(shù)、服務器資源使用率、cpu、內(nèi)存、io、network等各項性能指標。不僅從接口，還有系統(tǒng)流程中也需要做性能的測試，才能保障整體系統(tǒng)的性能達到要求。1.3.3安全測試安全測試則需要從SQl的注入漏洞、表單的漏洞、用戶身份驗證、跨網(wǎng)站腳本(XSS)漏洞及數(shù)據(jù)庫問題等不同方面來驗證。2需求分析2.1系統(tǒng)設(shè)計目標網(wǎng)上商城作為買賣雙方交易的平臺，為了易于維護和二次開發(fā)，設(shè)立以下目標：（1）系統(tǒng)能夠?qū)崿F(xiàn)需求分析階段所提出的需求。（2）系統(tǒng)能夠簡單易用，便于進行維護工作。（3）系統(tǒng)能夠有明確的分層結(jié)構(gòu)，便于精確控制各個模塊。2.2商城系統(tǒng)可行性分析2.2.1經(jīng)濟可行性商城系統(tǒng)的開發(fā)比線下的商城方式更方便，使用方式更便捷，操作簡單、維護成本更低廉，節(jié)省了大量的時間和經(jīng)濟資源，因此系統(tǒng)在經(jīng)濟上是可行的。2.2.2技術(shù)可行性根據(jù)商城的系統(tǒng)管理需要的硬件和軟件要求，現(xiàn)市場的開發(fā)技術(shù)已經(jīng)非常成熟，使用當時流行的Java語言，Spring框架為主要技術(shù)，硬件、軟件的性能、環(huán)境要求也相當良好，與此同時，給予項目開發(fā)周期、軟件測試周期的時間也比較寬裕，雖然有一定細節(jié)還需完善，但在預計時間內(nèi)完成系統(tǒng)的開發(fā)和測試上線是完全可行的。2.3功能和性能的分析2.3.1功能需求網(wǎng)上商城系統(tǒng)使用了模塊化的設(shè)計方式，實現(xiàn)的功能主要包括：用戶管理、商品管理、統(tǒng)計報表、供應商管理、權(quán)限、訂單等等。該系統(tǒng)包含的需求功能如下：（1）實現(xiàn)平臺使用者的注冊驗證、登錄功能（2）實現(xiàn)對用戶的管理，用戶信息的查看及修改，實現(xiàn)與用戶的綁定關(guān)系。（3）實現(xiàn)對報表的統(tǒng)計，每日客戶下單情況、每月訂單統(tǒng)計等。（4）實現(xiàn)對商品的維護，商品的樣式、單價、數(shù)量等等。（5）實現(xiàn)對供應商的添加、修改、刪除功能。（6）實現(xiàn)對訂單的跟蹤及退款跟蹤功能。2.3.2性能需求（1）界面要求：簡潔美觀、操作容易、具有商業(yè)平臺的特點。（2）實用性：便于輸入操作，精確的操作流程控制，并且簡化操作。（3）穩(wěn)定性：系統(tǒng)需要穩(wěn)定的網(wǎng)絡(luò)運行為前提，盡可能減少網(wǎng)絡(luò)錯誤，防止系統(tǒng)死機等現(xiàn)象，對各種錯誤進行可視化提示。（4）易維護性：要實現(xiàn)易用性，就要求系統(tǒng)應盡量選擇用戶熟悉的術(shù)語和語言界面。（5）響應速度快：系統(tǒng)在日常處理中的響應速度為秒級，達到實時要求，以及時反饋信息。（6）可擴充性：要實現(xiàn)可擴充性，應通過系統(tǒng)的開放性來完成，即系統(tǒng)應是一個開放系統(tǒng)，只要符合一定的規(guī)范，可以簡單的加入或減少系統(tǒng)的模塊。通過軟件的修補、替換操作來完成系統(tǒng)的升級和更新?lián)Q代。3詳細設(shè)計及安全測試防范措施3.1登錄模塊的設(shè)計3.1.1.登錄模塊界面樣例圖圖3-1商城后臺業(yè)務管理系統(tǒng)如圖3-1所示商城后臺業(yè)務管理系統(tǒng)的登錄示圖，頁面需輸入用戶名及密碼方可進入系統(tǒng)進行相關(guān)的操作，系統(tǒng)的賬號為yaowenbin，密碼為123456。圖3-2后臺業(yè)務管理系統(tǒng)滑圖驗證界面如上圖所示，在不同IP下登錄系統(tǒng)，首次登陸會在輸入賬號密碼通過之后，進入滑圖驗證頁面，只有通過滑圖驗證之后可跳轉(zhuǎn)至管理系統(tǒng)的首頁。3.1.2登錄模塊流程圖登錄流程的設(shè)計如下圖，使用不同正確或錯誤的賬號及密碼登錄后提示的信息內(nèi)容也不同：（1）用戶名或密碼錯誤。（2）用戶名或密碼不能為空。（3）驗證碼輸入不正確或為空。（4）用戶名和密碼全部正確，進入到系統(tǒng)首頁。圖3-3登錄頁面流程圖通過登錄頁面輸入正確的用戶名和密碼進入首頁，若賬號或密碼錯誤，均會提示錯誤信息，且系統(tǒng)限制了登陸的次數(shù)，因考慮到以防惡意登錄頁面損壞系統(tǒng)數(shù)據(jù)的行為，因此加了此項限制；如若登陸成功，則進入商城首頁。3.2權(quán)限管理模塊設(shè)計3.2.1權(quán)限管理模塊樣例圖權(quán)限管理模塊可以在用戶登錄的時，會對用戶的身份進行判斷，并需分配對應的權(quán)限，超級管理員擁有最高的權(quán)限，管理員等級低一級。通過設(shè)置對登錄用戶的職級來給不同的用戶職級分配不同的管理權(quán)限，也對來自不同部門和不同崗位的人員分別設(shè)定不同的角色，比如超級管理員、管理員、售后客服或供應商等分別可以查詢到對應團隊下的員工及其數(shù)據(jù)，然而超級管理員可以查看到系統(tǒng)所有的數(shù)據(jù)，其他的管理員則不能看到或使用不屬于歸屬部門的權(quán)限和角色；如果選擇角色為供應商，則會彈出相應的渠道，可以選擇對應的公司等等數(shù)據(jù)，此功能需要在程序設(shè)定時及軟件測試時做好準確驗證；圖3-4權(quán)限模塊樣例圖3.2.2權(quán)限管理流程分析

圖3-5新增用戶及權(quán)限流程圖權(quán)限是用戶登陸所使用的權(quán)利，因此在新建用戶時可選擇根據(jù)用戶的職級選擇用戶角色來分配權(quán)限，因此在新建權(quán)限之后，需要驗證登陸后臺管理系統(tǒng)查看當前用戶下的菜單，且對歸屬的菜單模塊的操作權(quán)限。3.3訂單管理模塊3.3.1權(quán)限管理模塊樣例圖訂單交易系統(tǒng)管理包括訂單列表、訂單退款、退款申請?zhí)幚怼?/p>

圖3-6訂單管理模塊

圖3-7訂單管理模塊訂單列表訂單列表模塊：目的是按照所有訂單的狀態(tài)來統(tǒng)計劃分，如圖3-6-1所示，在列表中可以按照訂單編號、收貨人、提交時間三項條件來篩選訂單，可以對選中的訂單查看，在查看訂單頁面中修改訂單的收貨人信息、備注訂單或關(guān)閉訂單等；也因訂單的數(shù)量大而可以對訂單進行批量發(fā)貨、批量退款，也可以Excel的形式導出訂單；訂單退款模塊：目的是對用戶在商品申請的退款操作，在此功能中根據(jù)訂單的編號或id，添加退款原因，退貨申請?zhí)幚砟K：目的是按照退貨申請?zhí)幚淼臓顟B(tài)來統(tǒng)計劃分，在列表中可以按照服務單號、收貨人、提交時間三項條件來篩選訂單，可以對選中的退貨訂單查看其退貨處理的所有信息及狀態(tài)，退貨處理頁面可在訂單編號欄查看訂單的詳情，也因訂單的數(shù)量大而可以對訂單進行批量導出，也可以Excel的形式導出訂單；3.3.2權(quán)限管理流程分析訂單的流程圖如下：

圖3-8訂單的流程圖4網(wǎng)上商城的安全測試防范措施4.1系統(tǒng)所需的軟硬件環(huán)境硬件環(huán)境和軟件環(huán)境：PC端測試：在此僅列出PC端的主要配置操作系統(tǒng)：Window7屏幕參數(shù)：1920*1080系統(tǒng)內(nèi)存：4GB開發(fā)環(huán)境：開發(fā)環(huán)境所需配置數(shù)據(jù)庫服務器：MySql服務器平臺：Tomcat6.0開發(fā)工具：idea64.2017.3.2開發(fā)語言：Java4.2測試用例的設(shè)計在本節(jié)中將對我工作中的幾個功能模塊進行用例測試，分別是：登錄、權(quán)限和和訂單三個基本功能。希望可以通過這幾個小模塊的測試，使得系統(tǒng)在安全測試后更加健壯穩(wěn)定。4.2.1登錄頁面的用例設(shè)計如下表：字段名稱輸入步驟預期結(jié)果執(zhí)行結(jié)果用戶名1、輸入已注冊過的用戶名2、輸入未注冊過的用戶名3、用戶名欄位為空1、可正常登錄2、提示輸入正確的賬號3、提示輸入賬號不能為空1、通過2、通過3、通過密碼1、輸入正確的密碼2、輸入錯誤的密碼3、密碼欄位為空1、可正常登陸系統(tǒng)2、提示密碼錯誤3、提示密碼不能為空1、通過2、通過3、通過4.2.2權(quán)限頁面的用例設(shè)計如下表：字段名稱輸入步驟預期結(jié)果實際結(jié)果手機號碼1、輸入已注冊過的手機號碼2、輸入未注冊過的手機號碼3、輸入手機號碼欄位為空1、提示該手機號已存在2、可正常顯示，新增成功3、提示輸入手機號碼不能為空1、通過2、通過3、通過用戶名1、輸入已存在的用戶名2、輸入不存在的用戶名3、輸入用戶名欄位為空1、提示該用戶名已存在2、可正常顯示，新增成功3、提示用戶名不能為空1、通過2、通過3、通過是否超級用戶1、選擇是2、選擇否1、設(shè)定該用戶為超級用戶2、設(shè)定該用戶非超級用戶1、通過2、通過是否鎖定1、選擇是2、選擇否1、鎖定該用戶為不可用狀態(tài)2、不鎖定當前新增用戶1、通過2、通過角色1、未創(chuàng)建角色2、已創(chuàng)建角色1、角色欄位為空，無法選擇角色2、可在下拉框中選擇角色1、通過2、通過渠道1、選擇有渠道的角色2、選擇沒有渠道的角色1、顯示當前角色下的渠道2、不顯示渠道欄位1、通過2、通過4.2.3訂單頁面的用例設(shè)計如下表：字段名稱輸入步驟預期結(jié)果實際結(jié)果篩選查詢/訂單編號1、輸入不存在的的訂單編號2、輸入存在的的訂單編號3、輸入手機號碼欄位為空1、查詢不到該訂單，列表顯示無數(shù)據(jù)2、列表顯示該數(shù)據(jù)的所有信息3、顯示全部訂單的數(shù)據(jù)1、通過2、通過3、通過篩選查詢/收貨人1、輸入存在的收貨人2、輸入不存在的收貨人3、輸入用戶名欄位為空1、查詢不到該收貨人數(shù)據(jù)，列表顯示無數(shù)據(jù)2、列表顯示該收貨人的所有信息3、顯示全部訂單的數(shù)據(jù)1、通過2、通過3、通過篩選查詢/提交時間1、選擇無訂單的日期范圍2、在日期表格中選擇有訂單的日期3、輸入用戶名欄位為空1、查詢不到該收貨人數(shù)據(jù)，列表顯示無數(shù)據(jù)2、列表顯示該時間范圍內(nèi)的所有信息3、顯示全部訂單的數(shù)據(jù)1、通過2、通過3、通過導出訂單1、選擇一條訂單數(shù)據(jù)2、不選擇訂單1、可正常導出訂單，為.xls格式2、提示“請先選中訂單”1、通過2、通過4.3系統(tǒng)的安全測試分析數(shù)據(jù)加密技術(shù)是最基本的安全措施，可滿足系統(tǒng)需求，此方法可通過復雜的密碼算法將明文數(shù)據(jù)轉(zhuǎn)化成難以識別的密文，通過不同的密鑰使用加密算法，將數(shù)據(jù)加密為不同的密文，相反，可在使用密鑰密文解密之前數(shù)據(jù)；比如客戶的身份號碼、手機號碼、銀行卡號碼、支付密碼等敏感信息。我們主要從以下四種方法中做了對系統(tǒng)的安全分析：4.3.1程序加密設(shè)計publicvoidSave(BackUserEntitybackUserEntity){Stringsalt=RandomStringUtils.randomAlphanumeric(20);backUserEntity.setSalt(salt);backUserEntity.setPassword(newSha256Hash(backUserEntity.getPassword(),salt).toHex());backUserEntity.setAddtime(newDate());backUserRepository.save(backUserEntity);}此程序段為設(shè)置手機號碼在程序中加密的處理。4.3.2數(shù)據(jù)庫設(shè)計本文以Mysql作為系統(tǒng)的穩(wěn)定性數(shù)據(jù)庫，其現(xiàn)在為最常用的一種關(guān)系型數(shù)據(jù)庫，我們在數(shù)據(jù)庫中的密碼均以加密形式存儲，如下圖：

圖3-9數(shù)據(jù)庫存儲密碼樣式圖如上圖所示，在把密碼加密之后，數(shù)據(jù)庫還設(shè)計了加鹽處理，使得密碼更加安全的保存，增加被輕易遭到攻擊的強度。4.3.3頁面密碼密文的處理系統(tǒng)的登錄頁面，用戶名和密碼欄位均會正常的顯示，然而密碼為需要處理為加密的，不以明文方式顯示，有效保護用戶的信息安全，如下圖所示。圖3-10登錄頁面的密碼欄位樣式4.3.4接口的安全測試測試方法中，除流程測試和頁面測試之外，接口測試也是非常重要的一項任務，接口是模塊與模塊之間的連接，不僅需要向下游傳輸信息，并且需要接收返回的信息，使得模塊與模塊之間可以互通，完成傳輸任務。圖3-11接口測試請求的樣例圖

圖3-12接口測試返回結(jié)果的樣例圖4.3.5性能測試我們以Jmeter工具為例，測試了登錄、權(quán)限、訂單三個模塊的性能，以聚合報告的形式展示出來，如下圖：

圖3-13性能測試的樣例圖5結(jié)論與展望5.1結(jié)論本文通過對網(wǎng)上商城系統(tǒng)分析闡述可能存在的問題，從訂單管理、登錄、權(quán)限等方面提出一些加強測試的建議，電子商務模式在飛速發(fā)展的同時，也存在著各種安全風險，現(xiàn)如今網(wǎng)絡(luò)手段的多樣化，安全問題更加突出；因此必須有安全技術(shù)作保障，才能確保電子商務更加穩(wěn)定快速的發(fā)展。5.2展望隨著計算機技術(shù)的不斷創(chuàng)新，計算機以其獨特的優(yōu)勢得到了更加廣泛的運用，網(wǎng)上商城的安全運營、使得電子商務的發(fā)展也得到了促進作用，還包括公司安全和計算機網(wǎng)絡(luò)的安全。有了電子商務網(wǎng)絡(luò)技術(shù)才能發(fā)展電子商務安全性，文中提到的幾種信息的安全防范策略，都發(fā)揮著至關(guān)重要的作用，但是網(wǎng)絡(luò)技術(shù)不僅僅只有這幾種，安全技術(shù)還要不斷的發(fā)展，電子商務的發(fā)展才能得到促進.漏洞在任何一個網(wǎng)絡(luò)安全技術(shù)上都是存在的，所以必須不斷發(fā)現(xiàn)問題，完善和改進方法.因為網(wǎng)絡(luò)和入侵破壞手段不是一成不變的，只有發(fā)展相應的技術(shù)才能真正的保障網(wǎng)上商城的安全，網(wǎng)上商城不僅僅是交易市場的巨大變革，也是連通全球經(jīng)濟交易的橋梁，這也是我國與國外企業(yè)公平競爭的機會，是縮短與國外企業(yè)差距的有效手段。致謝撰寫本文的經(jīng)驗也將有益于我的生活。我認為撰寫論文是你全心全意做的事情之一。沒有仔細的研究和研究，你將無法學習。你不可能有自己的研究，也沒有進步或進步。我希望這次經(jīng)歷將成為推動我未來研究和生活的催化劑。這次的論文設(shè)計或許還存在很大問題，但希望可以有機會完善的更好.最后，我要特別感謝我的指導老師和身邊的同事，感謝很多美好的時刻能和你們一起度過，感謝在完成論文的過程中給予的無私幫助。這次的論文使我感觸頗深，今后無論在做任何事情上都要親力親為，認真對待才能有更好的成績。參考文獻[1]劉勇賢.電子商務網(wǎng)絡(luò)安全技術(shù)研究[J].商場現(xiàn)代化,2017,07:52-53.[2]張苗.計算機網(wǎng)絡(luò)安全技術(shù)在電子商務中的應用研究[J]網(wǎng)絡(luò)安全技術(shù)與應用,201