Ⅰ 常見的軟體測試安全方法有哪些
從是否關心軟體內部結構和具體實現的角度劃分(按測試分類):白盒測試、黑盒測試、灰盒測試
(1)白盒測試:又稱為結構測試或邏輯驅動測試,是一種按照程序內部邏輯結構和編碼結構,設計測試數據並完成測試的一種測試方法。
(2)黑盒測試:又稱為數據驅動測試,把測試對象當做看不見的黑盒,在完全不考慮程序內部結構和處理過程的情況下,測試者僅依據程序功能的需求規范考慮,確定測試用例和推斷測試結果的正確性,它是站在使用軟體或程序的角度,從輸入數據與輸出數據的對應關系出發進行的測試。
(3)灰盒測試:是一種綜合測試法,它將「黑盒」測試與「白盒」測試結合在一起,是基於程序運行時的外部表現又結合內部邏輯結構來設計用例,執行程序並採集路徑執行信息和外部用戶介面結果的測試技術。
從是否執行代碼角度:靜態測試、動態測試
(1)靜態測試:指不運行被測程序本身,僅通過分析或檢查源程序的語法、結構、過程、介面等來檢查程序的正確性。
(2)動態測試:是指通過運行被測程序,檢查運行結果與預期結果的差異,並分析運行效率、正確性和健壯性等性能指標。
從軟體開發的過程按階段劃分有:單元測試、集成測試、確認測試、系統測試、驗收測試、回歸測試
(1)單元測試:又稱模塊測試,是針對軟體設計的最小單位----程序模塊或功能模塊,進行正確性檢驗的測試工作。其目的在於檢驗程序各模塊是否存在各種差錯,是否能正確地實現了其功能,滿足其性能和介面要求。
(2)集成測試:又叫組裝測試或聯合,是單元測試的多級擴展,是在單元測試的基礎上進行的一種有序測試。旨在檢驗軟體單元之間的介面關系,以期望通過測試發現各軟體單元介面之間存在的問題,最終把經過測試的單元組成符合設計要求的軟體。
(3)確認測試:又稱有效性測試。任務是驗證軟體的功能和性能及其它特性是否與用戶的要求一致。對軟體的功能和性能要求在軟體需求規格說明書中已經明確規定。它包含的信息就是軟體確認測試的基礎。
(4)系統測試:是為判斷系統是否符合要求而對集成的軟、硬體系統進行的測試活動、它是將已經集成好的軟體系統,作為基於整個計算機系統的一個元素,與計算機硬體、外設、某些支持軟體、人員、數據等其他系統元素結合在一起,在實際運行環境下,對計算機系統進行一系列的組裝測試和確認測試。
(5)驗收測試:以用戶為主的測試,軟體開發人員和質量保證人員參加,由用戶設計測試用例。不是對系統進行全覆蓋測試,而是對核心業務流程進行測試。
(6)回歸測試:是指修改了舊代碼後,重新進行測試以確認修改沒有引入新的錯誤或導致其他代碼產生錯誤。
Ⅱ 軟體安全性測試有哪些方面
設計安全,比如密碼是不是明文、資料庫連接是不是加密了
漏洞掃描,可以用IBM Appscan模擬攻擊,查看系統漏洞
還可以結合硬體環境進行安全性測試,比如防火牆、資料庫伺服器位置等等
Ⅲ 軟體安全測試有哪些方面
安全測試好像一直不太好界定,考慮賬號安全、文件安全、數據安全、網路安全等
Ⅳ 誰能簡單講講手機應用軟體安全性測試要測試什麼啊
1、文件檢測:檢查dex、res文件是否存在源代碼、資源文件被竊取、替換等安全問題。2、漏洞掃描:掃描簽名、XML文件是否存在安全漏洞、存在被注入、嵌入代碼等風險。3、後門檢測:檢測App是否存在被二次打包,然後植入後門程序或第三方代碼等風險。
Ⅳ 軟體的安全性應從哪幾個方面去測試
用戶認證安全的測試要考慮問題:
1. 明確區分系統中不同用戶許可權
2. 系統中會不會出現用戶沖突
3. 系統會不會因用戶的許可權的改變造成混亂
4. 用戶登陸密碼是否是可見、可復制
5. 是否可以通過絕對途徑登陸系統(拷貝用戶登陸後的鏈接直接進入系統)
6. 用戶退出系統後是否刪除了所有鑒權標記,是否可以使用後退鍵而不通過輸入口令進入系統
系統網路安全的測試要考慮問題
1. 測試採取的防護措施是否正確裝配好,有關系統的補丁是否打上
2. 模擬非授權攻擊,看防護系統是否堅固
3. 採用成熟的網路漏洞檢查工具檢查系統相關漏洞(即用最專業的黑客攻擊工具攻擊試一下,現在最常用的是 NBSI 系列和 IPhacker IP )
4. 採用各種木馬檢查工具檢查系統木馬情況
5. 採用各種防外掛工具檢查系統各組程序的客外掛漏洞
資料庫安全考慮問題:
1. 系統數據是否機密(比如對銀行系統,這一點就特別重要,一般的網站就沒有太高要求)
2. 系統數據的完整性(我剛剛結束的企業實名核查服務系統中就曾存在數據的不完整,對於這個系統的功能實現有了障礙)
3. 系統數據可管理性
4. 系統數據的獨立性
5. 系統數據可備份和恢復能力(數據備份是否完整,可否恢復,恢復是否可以完整)
Ⅵ 「軟體測試」如何進行APP安全性測試
一、前言
在SDK最近的項目中上線的包被第三方殺毒軟體報出有病毒的問題,後來經過查驗發現是SDK懸浮窗動畫的邏輯被檢驗出有病毒,最後進行了修改。事情雖然解決了,但是引起該問題的一個原因是在測試中沒有安全測試,而安全測試的標准,方法都沒有。因此今天將之前工作中參與過的安全測試以及從網上查閱到有關安全測試的資料進行整理。有不足的之處,盡情諒解。
二、軟體許可權
1)扣費風險:瀏覽網頁,下載,等情況下是否會扣費,一般在游戲APP,和社交APP等需要考慮這些。
2)隱私泄露風險。例如在我們安裝APP應用時通常會看到"xx要讀取手機通訊錄"等提示,這些提示可以提示用戶拒絕接受,這些是APP測試中的測試點。
3)校驗input輸入。對於APP有輸入框的要對輸入的信息進行校驗,比如密碼不能顯示明文。在測試中紅人館注冊時需要對input進行測試。
4)限制/允許使用手機功能接人互聯網,收發信息,啟動應用程序,手機拍照或者錄音,讀寫用戶數據。這個在通信行業用的比較多,比如展訊,高通等晶元廠商,他們在出廠晶元時要對手機各個功能進行測試。
三、代碼安全性
之所以單獨拿出來說,是因為在SDK測試過程中SDK代碼被第三方工具檢測出遊病毒代碼,這樣一來就會影響輸入法的使用。因此在後續測試中要嘗試加入安全性測試。
四、安裝與卸載安全性
1)應用程序應能正確安裝到設備驅動程序上
2)能夠在安裝設備驅動程序上找到應用程序的相應圖標。在SDK測試項目中發現有些設備受許可權的問題,無法下發圖標創建快鏈。
3)是否包含數字簽名信息。在SDK測試項目中基本上沒有,但是在輸入法打包和主線版本上存在這樣的測試。
4)安裝路徑應能指定
5)沒有用戶的允許應用程序不能預先設定自動啟動
6)卸載是否安全,其安裝進去的文件是否全部卸載
7)卸載用戶使用過程中產生的文件是否有提示
8)其修改的配置信息是否復原
9)卸載是否影響其他軟體的功能
10)卸載應該移除所有的文件
11)安裝包的存放。在SDK下載安裝包的測試中我們經常會看到下載下來的包後面有四個隨機的字元串,這個的目的是為了防止第三方工具惡意刪除安裝包的問題。
在SDK測試項目中有專門針對下載安裝卸載的用例,對安裝的路徑和下載的文件夾路徑等有相關的測試,測試結果頁表明,某些手機(例如華為mate1)在刪除了某個下載路徑文件夾之後受許可權應用不會自動創建。
五、數據安全性
1)當將密碼或其他的敏感數據輸人到應用程序時,其不會被儲存在設備中,同時密碼也不會被解碼
2)輸人的密碼將不以明文形式進行顯示
3)密碼,信用卡明細,或其他的敏感數據將不被儲存在它們預輸人的位置上
4)不同的應用程序的個人身份證或密碼長度必需至少在4一8個數字長度之間
5)當應用程序處理信用卡明細,或其他的敏感數據時,不以明文形式將數據寫到其它單獨的文件或者臨時文件中。以防止應用程序異常終止而又沒有刪除它的臨時文件,文件可能遭受人侵者的襲擊,然後讀取這些數據信息。
6)當將敏感數據輸人到應用程序時,其不會被儲存在設備中
7)備份應該加密,恢復數據應考慮恢復過程的異常通訊中斷等,數據恢復後再使用前應該經過校驗
8)應用程序應考慮系統或者虛擬機器產生的用戶提示信息或安全警告
9)應用程序不能忽略系統或者虛擬機器產生的用戶提示信息或安全警告,更不能在安全警告顯示前,利用顯示誤導信息欺騙用戶,應用程序不應該模擬進行安全警告誤導用戶
10)在數據刪除之前,應用程序應當通知用戶或者應用程序提供一個"取消"命令的操作
11)"取消"命令操作能夠按照設計要求實現其功能
12)應用程序應當能夠處理當不允許應用軟體連接到個人信息管理的情況
13)當進行讀或寫用戶信息操作時, 應用程序將會向用戶發送一個操作錯誤的提示信息
14)在沒有用戶明確許可的前提下不損壞刪除個人信息管理應用程序中的任何內容
15)應用程序讀和寫數據正確。
16)應用程序應當有異常保護。
17)如果資料庫中重要的數據正要被重寫,應及時告知用戶
18)能合理地處理出現的錯誤
19)意外情況下應提示用戶
20)HTTP、HTTPS覆蓋測試。在測試中我們經常會遇到與請求的加密解密測試,以確保產品的安全性
Ⅶ 軟體安全測試需要從哪些方面考慮
許可權控制 以及SQL注入、CSRF跨站腳本攻擊、XSS漏洞分別在URL參數、表單中的攻擊,Session超時等,這主要是web系統的安全測試
Ⅷ 如何進行app安全測試
appscan,可以試試~~~~~~~~~~
Ⅸ 軟體的安全性應從哪幾個方面去測試
一、用戶認證安全的測試:
1、明確區分系統中不同用戶許可權
2、系統中會不會出現用戶沖突
3、系統會不會因用戶的許可權的改變造成混亂
4、用戶登陸密碼是否是可見、可復制
5、是否可以通過絕對途徑登陸系統(拷貝用戶登陸後的鏈接直接進入系統)
6、用戶退出系統後是否刪除了所有鑒權標記,是否可以使用後退鍵而不通過輸入口令進入系統
二、系統網路安全的測試
1、測試採取的防護措施是否正確裝配好,有關系統的補丁是否打上
2、模擬非授權攻擊,看防護系統是否堅固
3、採用成熟的網路漏洞檢查工具檢查系統相關漏洞(即用最專業的黑客攻擊工具攻擊試一下,現在最常用的是 NBSI 系列和 IPhacker IP )
4、採用各種木馬檢查工具檢查系統木馬情況
5、採用各種防外掛工具檢查系統各組程序的客外掛漏洞
三、 資料庫安全測試:
1、系統數據是否機密(比如對銀行系統,這一點就特別重要,一般的網站就沒有太高要求)
2、系統數據的完整性(我剛剛結束的企業實名核查服務系統中就曾存在數據的不完整,對於這個系統的功能實現有了障礙)
3、系統數據可管理性
4、系統數據的獨立性
5、系統數據可備份和恢復能力(數據備份是否完整,可否恢復,恢復是否可以完整)