软件安全测试ppt课件.ppt

授课内容
软件文档测试
软件安全测试
网页测试
文档测试
软件文档的类型
文档测试为什么重要
在测试文档时要找什么
软件文档的类型
1）包装文字和图形
2）市场宣传材料、广告以及其它插页
3）授权/漏洞测试两个方面
安全功能测试基于软件的安全功能需求说明，测试
软件的安全功能实现是否与安全需求一致，需求实现是否正确完备。
软件主要的安全功能需求包括数据机密性、完整性、可用性、不可否认性、身份认证、授权、访问控制、审计跟踪、委托、隐私保护、安全管理等
软件安全性测试
软件安全功能测试实例
安全漏洞测试从攻击者的角度，以发现软件的安全漏洞为目的。
安全漏洞是指系统在设计、实现、操作、管理上存在的可被利用的缺陷或弱点。

安全漏洞测试实例
软件安全性测试
黑客的动机
挑战/成名
好奇
使用/借用
恶意破坏
偷窃
安全测试步骤
进行威胁模式分析（评估软件系统的安全问题）
构建威胁模式分析小组
确认价值
构建一个体系结构总体图
分解应用程序
确认威胁
记录威胁
威胁等级评定
潜在的损害
可反复性
可利用性
受影响的用户
可发现性
授课内容
软件文档测试
软件安全测试
网页测试
网页测试
网页测试包括以下内容：
1. 功能测试
2. 可用性测试

、浏览器兼容测试


……
1. 功能测试
功能测试包括以下内容：
表单测试
链接测试
数据校验
Cookies 测试
表单测试
什么是表单？
表单就是一些需要在线显示和填写的表格。
表单有一些标准操作，如确认、保存、提交等。
Web应用系统中的表单测试
表单测试示例
示例表单将检查如下功能：
姓名是否为空
Email地址是否为空，是否包含“”和“.”
主页网址是否为空，是否包含“” “.”
内容是否为空
表单测试
表单测试案例分析
案例演示：表单提交信息不完整
错误现象及重现步骤：
使用IE6登录“生产工程管理系统”，用户名为：sa，密码：admin
“导航栏”中点击“用户管理”，辅助栏中点击“供电公司”，“财务部”
在打开的“创建人员信息”页面中填入人员信息，注意不填入“姓名”信息，点击“保存”，如图所示：
显示操作成功信息，刷新辅助栏，可以看到新添加的姓名为“null”的用户，如图所示：
表单测试
表单测试案例分析
案例演示：表单提交信息不正确
错误现象及重现步骤：
使用IE6登录“生产工程管理系统”，用户名为：sa，密码：admin
导航栏中点击“岗位名称管理”，辅助栏中点击“新增岗位名称”
在打开“新增岗位名称信息”页面中，填入“岗位名称”和“拼音码”，注意“拼音码”信息内填入的是汉字，点击“保存”，如图所示：
显示操作成功信息，刷新辅助栏，可以看到新添加“科员”岗位，点击“科员”，可以看到科员的岗位信息，显示的拼音码与填入时一致。如图所示：
Web应用系统链接测试
链接是Web 网站的一个主要特征，它是在页面之间切换和引导用户去一些未知地址页面的主要手段。
链接是否正确
链接页面是否存在
是否有孤立的页面
注意：可以使用工具进行Web链接测试
链接测试
链接测试案例分析
案例演示：点击链接无反应
错误现象：
原因：
超链接地址有误，从图3-1中地址栏可以看出
解决办法：
更正超链接地址
链接测试
链接测试案例分析
案例演示：链接页面不存在
错误现象及重现步骤：
使用IE6登录“生产工程管理系统”，用户名：sa，密码：admin
点击“退出系统”，如图所示：
出现提示信息，告之链接页面不存在，如图所示：
原因：链接页面不存在
链接测试
链接测试案例分析
案例演示：有孤立页面存在
错误现象及重现步骤：
使用IE6登录“生产工程管理系统”，用户名：sa，密码：admin
直接在IE6地址栏输入“主机IP:8080/bx/list/”，回车，显示数据库中存放用户信息的表的内容 ，如图所示：
原因：
开发人员在开发时为了方便操作而编写的临时页面，在发布版本前未将这类临时页面删除 。
解决办法：
删除孤立页面
链接测试
链接测试要点
超链接本身言简意赅，具有可读性
定期检查外部链接
设计出友好的提示信息页面
本章内容总结
用户输出接