软件安全测试课件

,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,授课内容,软件文档测试,软件安全测试,网页测试,授课内容软件文档测试,1,文档测试,软件文档的类型,文档测试为什么重要,在测试文档时要找什么,文档测试软件文档的类型,2,软件文档的类型,1,）包装文字和图形,2,）市场宣传材料、广告以及其它插页,3,）授权,/,注册登记表,4,）,EULA,（用户许可协议）,5,）标签和不干胶条,6,）安装和设置指导,对于复杂软件，可以是完整的手册。,软件文档的类型1）包装文字和图形,3,7,）用户手册。,主要是联机手册。,8,）联机帮助,9,）指南、向导和,CBT,（计算机基础训练）,10,）样例、示例和模板,11,）错误提示信息,软件文档的类型,7）用户手册。软件文档的类型,4,文档测试为什么重要,提高易用性,提高可靠性,降低支持费用,好的文档可以通过恰当的解释和引导用户解决困难来预防这种情况。,文档测试为什么重要提高易用性,5,在测试文档时要找什么,测试文档有两个等级,非代码,(,如用户手册和包装盒,),，测试就是静态过程，可以视之为技术编辑或技术校对。,文档和代码紧密结合在一起,（如超级链接的联机手册或提供帮助的剪纸朋友），,就要进行动态测试。这种情况属于真正的软件测试。,在测试文档时要找什么测试文档有两个等级,6,文档测试的实质,1,）文档常常得不到足够的重视；,2,）编写文档的人可能对软件做什么不甚了解；,3,）印刷文档制作要花不少时间，可能是几周，甚至 几个月。,由于这个时间差，软件产品的文档需要在软件完成之前完稿,锁定。,文档测试的实质1）文档常常得不到足够的重视；,7,小结,从用户的角度看，软件文档和软件都是同样的产品。联机帮助索引遗漏一个重要条目，安装指导中存在错误步骤，或者出现显眼的拼写错误，都属于与其它软件失败一样的软件缺陷。,如果正确地测试文档，就可以在用户使用之前发现这些缺陷,小结从用户的角度看，软件文档和软件都是同样的产品。联机帮助索,8,作业,启动Windows画图程序，找出应该测试的文档例子。应该找什么,Windows画图程序帮助索引包含200多个条目，是否要测试每一个条目看能够到达正确的帮助主题吗？假如有10000个索引条目呢？,判断是非：测试错误提示信息属于文档测试范围,好的文档以哪三种方式确保产品的整体质量？,作业启动Windows画图程序，找出应该测试的文档例子。应该,9,授课内容,软件文档测试,软件安全测试,网页测试,授课内容软件文档测试,10,软件安全测试的必要性,软件安全测试的必要性,11,软件安全性测试,软件安全性测试是确定软件的安全特性实现是否与预期设计一致的过程，包括安全功能测试、渗透测试与验证过程,软件安全性测试可分为安全功能测试和安全漏洞测试两个方面,软件安全性测试软件安全性测试是确定软件的安全特性实现是否与预,12,安全功能测试基于软件的安全功能需求说明，测试,软件的安全功能实现是否与安全需求一致，需求实现是否正确完备。,软件主要的安全功能需求包括数据机密性、完整性、可用性、不可否认性、身份认证、授权、访问控制、审计跟踪、委托、隐私保护、安全管理等,软件安全性测试,软件安全功能测试实例,安全功能测试基于软件的安全功能需求说明，测试软件安全性测试软,13,安全漏洞测试从攻击者的角度，以发现软件的安全漏洞为目的。,安全漏洞是指系统在设计、实现、操作、管理上存在的可被利用的缺陷或弱点。,安全漏洞测试实例,软件安全性测试,安全漏洞测试从攻击者的角度，以发现软件的安全漏洞为目的。软件,14,黑客的动机,挑战,/,成名,好奇,使用,/,借用,恶意破坏,偷窃,黑客的动机挑战/成名,15,安全测试步骤,进行威胁模式分析（评估软件系统的安全问题）,构建威胁模式分析小组,确认价值,构建一个体系结构总体图,分解应用程序,确认威胁,记录威胁,威胁等级评定,潜在的损害,可反复性,可利用性,受影响的用户,可发现性,安全测试步骤进行威胁模式分析（评估软件系统的安全问题）,16,授课内容,软件文档测试,软件安全测试,网页测试,授课内容软件文档测试,17,网页测试,网页测试包括以下内容：,1.,功能测试,2.,可用性测试,3.,负载,/,压力测试,4.,操作系统、浏览器兼容测试,5.,安全性测试,6.Web,应用系统导航测试,网页测试网页测试包括以下内容：,18,1.功能测试,功能测试包括以下内容：,表单测试,链接测试,数据校验,Cookies,测试,1.功能测试功能测试包括以下内容：,19,表单测试,什么是表单？,表单就是一些需要在线显示和填写的表格。,表单有一些标准操作，如确认、保存、提交等。,表单测试什么是表单？,20,Web,应用系统中的表单测试,表单测试示例,示例表单将检查如下功能：,姓名是否为空,Email,地址是否为空，是否包含“,”,和“,.”,主页网址是否为空，是否包含“,”“.”,内容是否为空,Web应用系统中的表单测试表单测试示例,21,表单测试,表单,测试案例分析,案例演示：,表单提交信息不完整,错误现象及重现步骤,：,使用,IE6,登录“生产工程管理系统”，用户名为：,sa,，密码：,admin,“,导航栏”中点击“用户管理”，辅助栏中点击“供电公司”，“财务部”,在打开的“创建人员信息”页面中填入人员信息，注意不填入“姓名”信息，点击“保存”，如图所示：,显示操作成功信息，刷新辅助栏，可以看到新添加的姓名为“,null”,的用户，如图所示：,表单测试表单测试案例分析,22,表单测试,表单,测试案例分析,案例演示：,表单提交信息不正确,错误现象及重现步骤,：,使用,IE6,登录“生产工程管理系统”，用户名为：,sa,，密码：,admin,导航栏中点击“岗位名称管理”，辅助栏中点击“新增岗位名称”,在打开“新增岗位名称信息”页面中，填入“岗位名称”和“拼音码”，注意“拼音码”信息内填入的是汉字，点击“保存”，如图所示：,显示操作成功信息，刷新辅助栏，可以看到新添加“科员”岗位，点击“科员”，可以看到科员的岗位信息，显示的拼音码与填入时一致。如图所示：,表单测试表单测试案例分析,23,Web应用系统链接测试,链接是,Web,网站的一个主要特征，它是在页面之间切换和引导用户去一些未知地址页面的主要手段。,链接是否正确,链接页面是否存在,是否有孤立的页面,注意：可以使用工具进行,Web,链接测试,Web应用系统链接测试 链接是Web 网站的一个主要特征,24,链接测试,链接,测试案例分析,案例演示：,点击链接无反应,错误现象,：,原因：,超链接地址有误，从图,3-1,中地址栏可以看出,解决办法：,更正超链接地址,链接测试链接测试案例分析,25,链接测试,链接,测试案例分析,案例演示：,链接页面不存在,错误现象及重现步骤,：,使用,IE6,登录“生产工程管理系统”，用户名：,sa,，密码：,admin,点击“退出系统”，如图所示：,出现提示信息，告之链接页面不存在，如图所示：,原因：,链接页面不存在,链接测试链接测试案例分析,26,链接测试,链接,测试案例分析,案例演示：,有孤立页面存在,错误现象及重现步骤,：,使用,IE6,登录“生产工程管理系统”，用户名：,sa,，密码：,admin,直接在,IE6,地址栏输入“主机,IP:8080/bx/list/listUserTable.jsp”,，回车，显示数据库中存放用户信息的表的内容，如图所示：,原因：,开发人员在开发时为了方便操作而编写的临时页面，在发布版本前未将这类临时页面删除。,解决办法：,删除孤立页面,链接测试链接测试案例分析,27,链接测试,链接测试要点,超链接本身言简意赅，具有可读性,定期检查外部链接,设计出友好的提示信息页面,链接测试链接测试要点,28,本章内容总结,用户输出接口测试,输出属性修改后的结果,屏幕刷新显示,数据结构的测试,数据结构溢出,数据结构不符合约束,操作数与操作符不符,递归调用自身,计算结果溢出,数据共享或关联功能计算出错,补充,:Web,应用系统链接测试,本章内容总结用户输出接口测试,29,Web应用系统导航测试,导航测试案例分析,案例演示一：,标识页面所处,Web,应用系统中的位置,正确示例：,打开北大青鸟主页，选择“新闻中心”，打开一新闻，如图所示,其他正确示例：,打开北大青鸟主页，单击主导航栏“,ACCP”,，如图所示,Web应用系统导航测试导航测试案例分析,30,Web应用系统导航测试,导航测试案例分析,案例演示：,导航栏内容未跟随操作动态更新,现象重现步骤,：,登录生产工程管理系统，在左边导航栏中选择“用户管理”,点击“所有单位”，选择“生计部”，主框体出现“创建人员信息”,填写表单，添加一用户，如图所示：,点击“保存”，显示保存成功，如图所示，点击“返回”，新添加用户未在“生计部”下显示。,解决方法：,在操作可能更改导航栏内容的步骤时增加导航栏刷新,Web应用系统导航测试导航测试案例分析,31,Web应用系统导航测试,导航测试案例分析,案例演示四：,导航条目排列混乱,错误现象一,：,“退出登陆”通常应排在导航栏最下端，供电公司管理系统放置位置不合适，如图所示,错误现象二：,类别相近的栏目应集中导航，方便操作。供电公司管理系统将岗位、用户和角色的导航条目混乱排列，如图所示,Web应用系统导航测试导航测试案例分析,32,Web应用系统导航测试要点,方便快捷的访问到用户需要的信息,在任何页面上都可以清楚地知道页面所处,Web,应用系统中的位置,页面逻辑结构清晰，层次分明,容易返回上一状态或主页面,Web应用系统导航测试要点 方便快捷的访问到用户需要的信息,33,