软件安全测试

软件安全测试软件安全测试文档文档测试测试v软件文档的类型v文档测试为什么重要v在测试文档时要找什么软软件文档的件文档的类类型型v1）包装文字和图形v2）市场宣传材料、广告以及其它插页v3）授权/注册登记表v4）EULA（用户许可协议）v5）标签和不干胶条v6）安装和设置指导 对于复杂软件，可以是完整的手册。v7）用户手册。主要是联机手册。v8）联机帮助v9）指南、向导和CBT（计算机基础训练）v10）样例、示例和模板v11）错误提示信息软软件文档的件文档的类类型型文档文档测试为测试为什么重要什么重要v提高易用性v提高可靠性v降低支持费用 好的文档可以通过恰当的解释和引导用户解决困难来预防这种情况。在在测试测试文档文档时时要找什么要找什么v测试文档有两个等级 非代码(如用户手册和包装盒)，测试就是静态过程，可以视之为技术编辑或技术校对。文档和代码紧密结合在一起（如超级链接的联机手册或提供帮助的剪纸朋友），就要进行动态测试。这种情况属于真正的软件测试。文档文档测试的的实质v1）文档常常得不到足够的重视；v2）编写文档的人可能对软件做什么不甚了解；v3）印刷文档制作要花不少时间，可能是几周，甚至 几个月。由于这个时间差，软件产品的文档需要在软件完成之前完稿锁定。小小结结v从用户的角度看，软件文档和软件都是同样的产品。联机帮助索引遗漏一个重要条目，安装指导中存在错误步骤，或者出现显眼的拼写错误，都属于与其它软件失败一样的软件缺陷。如果正确地测试文档，就可以在用户使用之前发现这些缺陷 作作业业v启动Windows画图程序，找出应该测试的文档例子。应该找什么vWindows画图程序帮助索引包含200多个条目，是否要测试每一个条目看能够到达正确的帮助主题吗？假如有10000个索引条目呢？v判断是非：测试错误提示信息属于文档测试范围v好的文档以哪三种方式确保产品的整体质量？授授课课内容内容v软件文档测试软件文档测试v软件安全测试软件安全测试v网页测试网页测试软软件安全件安全测试测试的必要性的必要性软软件安全性件安全性测试测试v软件安全性测试是确定软件的安全特性实现是否与预期设计一致的过程，包括安全功能测试、渗透测试与验证过程v软件安全性测试可分为安全功能测试和安全漏洞测试两个方面v安全功能测试基于软件的安全功能需求说明，测试 软件的安全功能实现是否与安全需求一致，需求实现是否正确完备。v软件主要的安全功能需求包括数据机密性、完整性、可用性、不可否认性、身份认证、授权、访问控制、审计跟踪、委托、隐私保护、安全管理等软软件安全性件安全性测试测试软软件件安安全全功功能能测测试试实实例例v安全漏洞测试从攻击者的角度，以发现软件的安全漏洞为目的。v安全漏洞是指系统在设计、实现、操作、管理上存在的可被利用的缺陷或弱点。安全漏洞安全漏洞测试实例例软软件安全性件安全性测试测试黑客的黑客的动动机机v挑战/成名v好奇v使用/借用v恶意破坏v偷窃安全安全测试测试步步骤骤v进行威行威胁模式分析（模式分析（评估估软件系件系统的安全的安全问题）构建威构建威胁模式分析小模式分析小组确确认价价值构建一个体系构建一个体系结构构总体体图分解分解应用程序用程序 确确认威威胁记录威威胁 威威胁等等级评定定潜在的潜在的损害害可反复性可反复性可利用性可利用性受影响的用受影响的用户可可发现性性授授课课内容内容v软件文档测试软件文档测试v软件安全测试软件安全测试v网页测试网页测试网网页测试页测试网页测试包括以下内容：v1.功能功能测试v2.可用性可用性测试v3.负载/压力力测试v4.操作系操作系统、浏览器兼容器兼容测试v5.安全性安全性测试v6.Web应用系用系统导航航测试 1.功能功能测试测试功能测试包括以下内容：v表表单测试v链接接测试v数据校数据校验vCookies 测试表表单测试单测试什么是表单？v表表单就是一些需要在就是一些需要在线显示和填写的表格。示和填写的表格。v表表单有一些有一些标准操作，如确准操作，如确认、保存、提交等。、保存、提交等。WebWeb应用系用系统中的表中的表单测试v表单测试示例 示例表单将检查如下功能：姓名是否为空Email地址是否为空，是否包含“”和“.”主页网址是否为空，是否包含“”“.”内容是否为空表表单测试单测试v表单测试案例分析 案例演示：案例演示：表表单提交信息不完提交信息不完整整 错误现象及重象及重现步步骤：使用使用IE6登登录“生生产工程管理工程管理系系统”，用，用户名名为：sa，密，密码：admin“导航航栏”中点中点击“用用户管理管理”，辅助助栏中点中点击“供供电公司公司”，“财务部部”在打开的在打开的“创建人建人员信息信息”页面中填入人面中填入人员信息，注意不信息，注意不填入填入“姓名姓名”信息，点信息，点击“保存保存”，如，如图所示：所示：显示操作成功信息，刷新示操作成功信息，刷新辅助助栏，可以看到新添加的姓，可以看到新添加的姓名名为“null”的用的用户，如，如图所示：所示：表表单测试单测试v表单测试案例分析 案例演示：表单提交信息不正确 错误现象及重现步骤：使用IE6登录“生产工程管理系统”，用户名为：sa，密码：admin 导航栏中点击“岗位名称管理”，辅助栏中点击“新增岗位名称”在打开“新增岗位名称信息”页面中，填入“岗位名称”和“拼音码”，注意“拼音码”信息内填入的是汉字，点击“保存”，如图所示：显示操作成功信息，刷新辅助栏，可以看到新添加“科员”岗位，点击“科员”，可以看到科员的岗位信息，显示的拼音码与填入时一致。如图所示：Web应应用系用系统链统链接接测试测试 链接是Web 网站的一个主要特征，它是在页面之间切换和引导用户去一些未知地址页面的主要手段。v链接是否正确v链接页面是否存在v是否有孤立的页面v注意：可以使用工具进行Web链接测试链链接接测试测试v链接测试案例分析 案例演示：点击链接无反应 错误现象：原因：超链接地址有误，从图3-1中地址栏可以看出 解决办法：更正超链接地址 链链接接测试测试v链接测试案例分析 案例演示：链接页面不存在 错误现象及重现步骤：使用IE6登录“生产工程管理系统”，用户名：sa，密码：admin 点击“退出系统”，如图所示：出现提示信息，告之链接页面不存在，如图所示：原因：链接页面不存在 链链接接测试测试v链接测试案例分析 案例演示：有孤立页面存在 错误现象及重现步骤：使用IE6登录“生产工程管理系统”，用户名：sa，密码：admin 直接在IE6地址栏输入“主机IP:8080/bx/list/listUserTable.jsp”，回车，显示数据库中存放用户信息的表的内容，如图所示：原因：开发人员在开发时为了方便操作而编写的临时页面，在发布版本前未将这类临时页面删除。解决办法：删除孤立页面 链链接接测试测试v链接测试要点超链接本身言简意赅，具有可读性 定期检查外部链接 设计出友好的提示信息页面 本章内容本章内容总结v用户输出接口测试输出属性修改后的结果屏幕刷新显示v数据结构的测试数据结构溢出数据结构不符合约束操作数与操作符不符递归调用自身计算结果溢出数据共享或关联功能计算出错v补充:Web应用系统链接测试Web应应用系用系统导统导航航测试测试v导航测试案例分析 案例演示一：标识页面所处Web应用系统中的位置正确示例：打开北大青鸟主页，选择“新闻中心”，打开一新闻，如图所示其他正确示例：打开北大青鸟主页，单击主导航栏“ACCP”，如图所示Web应应用系用系统导统导航航测试测试v导航测试案例分析 案例演示：导航栏内容未跟随操作动态更新 现象重现步骤：登录生产工程管理系统，在左边导航栏中选择“用户管理”点击“所有单位”，选择“生计部”，主框体出现“创建人员信息”填写表单，添加一用户，如图所示：点击“保存”，显示保存成功，如图所示，点击“返回”，新添加用户未在“生计部”下显示。解决方法：在操作可能更改导航栏内容的步骤时增加导航栏刷新 Web应应用系用系统导统导航航测试测试v导航测试案例分析 案例演示四：导航条目排列混乱 错误现象一：“退出登陆”通常应排在导航栏最下端，供电公司管理系统放置位置不合适，如图所示 错误现象二：类别相近的栏目应集中导航，方便操作。供电公司管理系统将岗位、用户和角色的导航条目混乱排列，如图所示Web应应用系用系统导统导航航测试测试要点要点 v方便快捷的访问到用户需要的信息v在任何页面上都可以清楚地知道页面所处Web应用系统中的位置v页面逻辑结构清晰，层次分明v容易返回上一状态或主页面