软件安全测试流程与方法分享(中)

news2024/11/17 1:32:53

安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。安全是软件产品的一个重要特性,安全测试也是软件测试重的一个重要类别,本系列文章我们与大家分享软件安全测试的流程、方法以及软件测试工具等内容,帮助大家快速了解软件安全测试体系。 

在(上)部分的文章中,我们为大家介绍了软件安全测试的流程,本文我们继续为大家介绍软件安全测试的测试用例设计环节。安全测试的测试用例可以从一下子几个方面去设计:

身份鉴别

身份鉴别方面主要是验证系统对访问用户身份的认证,可以从如下方面来进行用例设计:

1)身份识别,如用户在登录时是否采用了身份鉴别措施;用户列表确认用户身份标识是否具有唯一性;用户配置信息或测试验证是否不存在空口令用户等。

2)会话管理,如系统是否配置并启用了登录失败处理功能;以错误的用户名或密码登录系统,是否可以登录系统;是否配置并启用了登录连接超时及自动退出功能;是否对单个用户的多重并发会话进行限制等。

访问控制

访问控制方面主要是验证系统对资源访问的控制,可以从如下方面来进行用例设计:

1)访问控制,如是否为用户分配了账户和权限及相关设置情况; 是否已禁用或限制匿名、默认账户的访问权限;核查是否已经重命名默认账户或默认账户已被删除;核查是否已修改默认账户的默认口令; 核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;核查多余的、过期的账户是否被删除或停用等。

2)密码管理,是否是管理员分发用户的初始密码,验证管理员分发初始密码是否成功;使用用户初始密码登录系统,查看是否强制用户修改初始登录密码;验证系统是否提供密码有效期的设置,设置是否启用;使用过期密码登录系统,查看过期密码能否登录成功等。

数据安全

数据安全方面主要是验证系统对数据传输和数据存储的安全性,可以从数据保密性和数据完整性方面来进行用例设计。

安全审计

安全审计方面主要是验证系统的功能操作日志,可从如下方面设计用例:检查是否开启了安全审计功能;核查安全审计范围是否覆盖到每个用户; 是否对重要的用户行为和重要安全事件进行审计等。

漏洞扫描

漏洞扫描方面主要是基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行测试。

抗抵赖性

抗抵赖性方面主要是验证系统的数字签名,可以从如下方面来进行用例设计:系统是否采用 MAC 技术进行签名验证;系统是否采用数字签名技术。

接口安全

接口安全方面主要是验证系统接口在身份鉴别、访问控制等方面的安全性, 可参考参考身份鉴别、访问控制、数据安全、安全审计这些方面来进行用例设计。

密码应用

密码应用方面主要是验证系统密码算法的合规性、安全性、正确性等。

个人信息保护

个人信息保护方面主要是验证系统对个人敏感信息的保护。

剩余信息保护

剩余信息保护方面主要是验证系统运行后关键信息是否及时进行了清除。

组件安全

组件安全方面主要是验证系统使用的第三方组件是否安全。

业务安全

业务安全主要针对业务运行的软、硬件平台(操作系统、数据库、中间件等),业务系统自身(软件或设备)和业务所提供的服务进行安全测试,保护业务系统免受安全威胁。

依从性

依从性方面主要是验证系统是否符合相关标准规范的要求,可以按照相关标准规范的要求,设计针对性的测试用例,设计方法同安全性其它子特性的用例设计方法。

以上内容就是我们为大家整理的软件安全测试流程与方法的测试用例设计部分,后面的内容会继续为大家介绍测试执行以及软件测试工具等内容,希望能够给帮助大家快速建立安全测试体系。

(谢绝转载,更多内容可查看我的主页)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/727556.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

趁规则改变之前,转变思维

在职场和生活中,我们常常强调了解和遵守规则的重要性。无论从事哪个行业、从事何种工作,赚取收入都需要理解并适应游戏规则。然而,规则并非永远不变,它会随着竞争环境、市场条件甚至社会文化的变迁而发生变化。 举个例子&#xff…

LeetCode 打卡day57--动态规划之回文串问题

一个人的朝圣 — LeetCode打卡第57天 知识总结 Leetcode 647. 回文子串题目说明代码说明 Leetcode 5. 最长回文子串题目说明代码说明 Leetcode 516. 最长回文子序列题目说明代码说明 知识总结 今天是动态规划的回文串问题系列 Leetcode 647. 回文子串 题目链接 题目说明 给…

nginx四层转发应用

默认使用yum安装的nginx是没有额外安装的动态模块的,需要自己额外安装 ls /usr/lib64/nginx/modules/ 若是不安装stream模块,直接在nginx的配置文件中调用stream模块,重载配置文件的时候会报错识别不到stream功能 安装stream模块 yum insta…

网际奇缘:计算机网络演进、概念探秘与通信魔法!

文章目录 计算机网络概述1.1🍁🍁计算机网络的基本定义和基本功能1.2 🪶🪶计算机网络的演进过程1.2.1 🦇主机互联🦇1.2.2 🦇局域网🦇1.2.3 🦇互联网🦇1.2.4 &a…

测试编排必要性

目录 前言: 测试编排定义 测试编排和自动化 测试编排的好处 自动化的测试编排策略 自动化/编排工具 测试编排和CI/CD 学点啥 前言: 编排是一种组织和安排信息的过程,它在各种情境中都是非常重要的。在撰写文章、演讲或其他形式的表达…

学校公寓管理系统/基于微信小程序的学校公寓管理系统

摘 要 社会的发展和科学技术的进步,互联网技术越来越受欢迎。手机也逐渐受到广大人民群众的喜爱,也逐渐进入了每个学生的使用。手机具有便利性,速度快,效率高,成本低等优点。 因此,构建符合自己要求的操作…

常用特殊函数的计算机处理

常用特殊函数的计算机处理 gamma 函数 契贝谢夫多项式 契贝谢夫多项式的展开系数 ja_j^{(10)}ja_j^{(10)}01.060.010973695810.42278433707-0.002466748020.411840251880.001539768130.08157821889-0.000344234240.0742379076100.00006771065-0.0002109075 Fortran 实现&…

【雕爷学编程】Arduino动手做(136)---0.91寸OLED液晶屏模块5

37款传感器与执行器的提法,在网络上广泛流传,其实Arduino能够兼容的传感器模块肯定是不止这37种的。鉴于本人手头积累了一些传感器和执行器模块,依照实践出真知(一定要动手做)的理念,以学习和交流为目的&am…

antd——a-tree组件拖拽节点功能——技能提升

之前写过一篇文章关于: antd——使用a-tree组件实现 检索自动展开自定义增删改查功能——技能提升:http://t.csdn.cn/13qT7 现在有个需求:就是要实现节点的拖拽功能。 tree组件节点的拖拽功能实现 tree组件是有拖拽功能的,通过…

flink-conf.yaml的参数

参数 ⚫jobmanager.memory.process.size:对 JobManager 进程可使用到的全部内存进行配置, 包括 JVM元空间和其他开销,默认为 1600M,可以根据集群规模进行适当调整。⚫ taskmanager.memory.process.size:对 TaskManage…

线性代数中基向量变换参照原理

经常需要用到,又记不住,所以这里记录下来方便以后翻阅。 很重要。 截图出自书为:

Spring Boot 中的 MyBatis 是什么,如何使用

Spring Boot 中的 MyBatis 是什么,如何使用 简介 MyBatis 是一种流行的 Java 持久化框架,可以将 SQL 查询映射到对象上,并提供了简单易用的 API 来执行 CRUD 操作。Spring Boot 可以与 MyBatis 集成,提供了简化配置和自动化配置…

基于单片机的智能台灯 灯光控制系统人体感应楼梯灯系统的设计与实现

功能介绍 以STM32单片机作为主控系统;主通过光敏采集当前光线强度;通过PMW灯光调节电路,我们可以根据不同的光线亮度,进行3挡调节;通过人体红外检测当前是否有人;通过不同光线情况下使用PWM脉冲电路进行调节…

Apifox 已上架至 TitanIDE

Apifox 目前已上架至 TitanIDE 模板,为 TitanIDE 用户提供快速使用接口调试工具的入口。 可以通过 TitanIDE 的「创建项目」快速新建 Apifox 模版,开箱即用。TitanIDE 的模板包括开发者常用的 IDE 及周边开发工具,如数据建模用的 PDmaner、数…

【STM32】GPIO

一、GPIO简介 1. 基本介绍 GPIO是通用输入输出端口的简称,STM32芯片通过GPIO与外设连接,从而实现与外设的数据收发。 最基本的输出功能是由STM32控制引脚输出高、低电平,实现开关控制。如把GPIO引脚接入到LED灯控制LED亮灭,或者…

中小企业的必然选择——构建高效、安全的企业网络

在当今技术驱动的商业环境中,可靠且高效的企业网络对中小型企业的成功是至关重要的。随着对数据密集型应用的需求不断增加,无线网络技术随之迅速发展,企业必须构建一个更快、更安全的网络以保证业务安全稳定开展。本文重点讲解中小型企业网络…

常用stream方法记录

目录 过滤filter()获取最大最小值根据条件统计数量list转mapkey值唯一key值不唯一 distinct去重groupingBy分组map遍历取list中某元素组成新的listlist转数组String基本数据类型数组转换 数组转listArrays.asList()Collections.addAll基本数据类型数组转list 源码和…

阿里云绑定域名

在阿里云安全组与宝塔安全放开8081端口 server {listen 8081;server_name www.whxyyds.top;charset utf-8;location / {root /home/ruoyi/projects/ruoyi-ui;try_files $uri $uri/ /index.html;index index.html index.htm;}location /prod-api/ {proxy_set_header …

途乐证券|A股自动驾驶概念“夏日躁动”

进入7月以后,A股智能汽车产业链——尤其是自动驾驶板块,开始逐渐收复去年失地。 香港途乐证券有限公司(191883.com)是香港最优秀的股票投资平台,平台致力于为投资者提供专业、安全、诚信的股票策略服务,通过…

微信内置h5浏览器 getBrandWCPayRequest支付

目录 getBrandWCPayRequest支付 什么是getBrandWCPayRequest支付? 如何使用getBrandWCPayRequest支付? getBrandWCPayRequest支付的特点和优势 结论 WeixinJSBridge:微信浏览器的JavaScript桥接工具 WeixinJSBridge的作用 WeixinJSBri…