關(guān)于軟件安全性測試

　　用戶(hù)認證安全的測試要考慮問(wèn)題：

　　1.        明確區分系統中不同用戶(hù)權限

　　2.        系統中會(huì )不會(huì )出現用戶(hù)沖突

　　3.        系統會(huì )不會(huì )因用戶(hù)的權限的改變造成混亂

　　4.        用戶(hù)登陸密碼是否是可見(jiàn)、可復制

　　5.        是否可以通過(guò)絕對途徑登陸系統（拷貝用戶(hù)登陸后的鏈接直接進(jìn)入系統）

　　6.        用戶(hù)推出系統后是否刪除了所有鑒權標記，是否可以使用后退鍵而不通過(guò)輸入口令進(jìn)入系統

　　系統網(wǎng)絡(luò )安全的測試要考慮問(wèn)題

　　1.        測試采取的防護措施是否正確裝配好，有關(guān)系統的補丁是否打上

　　2.        模擬非授權攻擊，看防護系統是否堅固

　　3.        采用成熟的網(wǎng)絡(luò )漏洞檢查工具檢查系統相關(guān)漏洞（即用最專(zhuān)業(yè)的黑客攻擊工具攻擊試一下，現在最常用的是NBSI系列和IPhacker IP）

　　4.        采用各種木馬檢查工具檢查系統木馬情況

　　5.        采用各種防外掛工具檢查系統各組程序的客外掛漏洞

　　數據庫安全考慮問(wèn)題：

　　1.        系統數據是否機密（比如對銀行系統，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒(méi)有太高要求）

　　2.        系統數據的完整性（我剛剛結束的企業(yè)實(shí)名核查服務(wù)系統中就曾存在數據的不完整，對于這個(gè)系統的功能實(shí)現有了障礙）

　　3.        系統數據可管理性

　　4.        系統數據的獨立性

　　5.        系統數據可備份和恢復能力（數據備份是否完整，可否恢復，恢復是否可以完整）

文章來(lái)源于領(lǐng)測軟件測試網(wǎng) http://kjueaiud.com/

TAG: 軟件