123456710111213141516171819202122232425262728软件的安全性应从哪几个方面 去测试?明确区分系统中不同用户权限(证证与授权)用户登陆密码是否是可见、可复制, 要加密处理(密码和账号保存在Cookie中,因为Cookie的信息是保存在客户端,公开的,所以要加密)登录失败错误提示应该模糊,登录失败后的次数,暂停用户登录登录时应该多使用图片验证码,图片验证码是最可靠的防攻击手段文件上传安全性,上传大小必须要有,上传文件类型,不能以文件的后缀名来判断文件类型 ,不能上传有可执行程序和代码,(文件上传漏洞)是否可以通过绝对途径登陆系统(不能拷贝用户登陆后的链接URL直接进入系统),需要用Sesson对客户端进行验证,确认当前的session己经登录过,访问页面自动跳转到登录页面,即session和cookie的有效期和作用域(session和cookie)Session ID最好与IP地址进行绑定,避免非法客户端获取Session ID来冒充合法用户没有SQL注入数据库安全考虑问题:系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求)系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整,对于个系统的功能实现有了障碍)系统数据可管理性系统数据的性系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)系统会不会因用户的权限的改变造成混乱软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。用户认证安全的测试要考虑问题:系统中会不会出现用户冲突,同一账号在多地登录用户退出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系系统网络安全的测试要考虑问题测试采取的防护措施是否正确装配好,有关系统的补丁是否打上模拟非授权攻击,看防护系统是否坚固采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一现在最常用的是 NBSI 系列和 IPhacker IP )采用各种木马检查工具检查系统木马情况采用各种防外挂工具检查系统各组程序的外挂漏洞
