性能和安全性測(cè)試的主要測(cè)試內(nèi)容.doc

性能測(cè)試的主要測(cè)試內(nèi)容是什么？ 軟件測(cè)試 基準(zhǔn)測(cè)試： 比較新的或未知測(cè)試對(duì)象與已知參照標(biāo)準(zhǔn)（如現(xiàn)有軟件或評(píng)測(cè)標(biāo)準(zhǔn)）的性能。爭(zhēng)用測(cè)試： 核實(shí)測(cè)試對(duì)象對(duì)于多個(gè)主角對(duì)相同資源（數(shù)據(jù)記錄、內(nèi)存等）的請(qǐng)求的處理是否可以接受。性能配置： 核實(shí)在操作條件保持不變的情況下，測(cè)試對(duì)象在使用不同配置時(shí)其性能行為的可接受性。負(fù)載測(cè)試（Load Test） -是一種性能測(cè)試，指數(shù)據(jù)在超負(fù)荷環(huán)境中運(yùn)行，程序是否能夠承擔(dān)。核實(shí)在保持配置不變的情況下，測(cè)試對(duì)象在不同操作條件（如不同用戶數(shù)、事務(wù)數(shù)等）下性能行為的可接受性。強(qiáng)度測(cè)試Stress Testing -核實(shí)測(cè)試對(duì)象性能行為在異?；驑O端條件（如資源減少或用戶數(shù)過(guò)多）之下的可接受性。強(qiáng)度測(cè)試在系統(tǒng)資源特別低的情況下軟件系統(tǒng)運(yùn)行情況，目的是找到系統(tǒng)在哪里失效以及如何失效的地方。強(qiáng)度測(cè)試包括：Spike testing：短時(shí)間的極端負(fù)載測(cè)試Extreme testing：在過(guò)量用戶下的負(fù)載測(cè)試Hammer testing：連續(xù)執(zhí)行所有能做的操作容量測(cè)試(Volume Test)：確定系統(tǒng)可處理同時(shí)在線的最大用戶數(shù)關(guān)注點(diǎn)：how much（而不是how fast）容量測(cè)試，通常和數(shù)據(jù)庫(kù)有關(guān)，容量和負(fù)載的區(qū)別在于：容量關(guān)注的是大容量，而不需要表現(xiàn)實(shí)際的使用。安全性測(cè)試的內(nèi)容一個(gè)完整的WEB安全性測(cè)試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密。參數(shù)操作、異常管理、審核和日志記錄等幾個(gè)方面入手。1.安全體系測(cè)試1)部署與基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)是否提供了安全的通信部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么目標(biāo)環(huán)境支持怎樣的信任級(jí)別2)輸入驗(yàn)證如何驗(yàn)證輸入A.是否清楚入口點(diǎn)B.是否清楚信任邊界C.是否驗(yàn)證Web頁(yè)輸入D.是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證E.是否驗(yàn)證從數(shù)據(jù)庫(kù)中檢索的數(shù)據(jù)F.是否將方法集中起來(lái)G.是否依賴客戶端的驗(yàn)證H.應(yīng)用程序是否易受SQL注入攻擊I.應(yīng)用程序是否易受XSS攻擊如何處理輸入3)身份驗(yàn)證是否區(qū)分公共訪問(wèn)和受限訪問(wèn)是否明確服務(wù)帳戶要求如何驗(yàn)證調(diào)用者身份如何驗(yàn)證數(shù)據(jù)庫(kù)的身份是否強(qiáng)制試用帳戶管理措施4)授權(quán)如何向最終用戶授權(quán)如何在數(shù)據(jù)庫(kù)中授權(quán)應(yīng)用程序如何將訪問(wèn)限定于系統(tǒng)級(jí)資源5)配置管理是否支持遠(yuǎn)程管理是否保證配置存儲(chǔ)的安全是否隔離管理員特權(quán)6)敏感數(shù)據(jù)是否存儲(chǔ)機(jī)密信息如何存儲(chǔ)敏感數(shù)據(jù)是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)是否記錄敏感數(shù)據(jù)7)會(huì)話管理如何交換會(huì)話標(biāo)識(shí)符是否限制會(huì)話生存期如何確保會(huì)話存儲(chǔ)狀態(tài)的安全8)加密為何使用特定的算法如何確保加密密鑰的安全性9)參數(shù)操作是否驗(yàn)證所有的輸入?yún)?shù)是否在參數(shù)過(guò)程中傳遞敏感數(shù)據(jù)是否為了安全問(wèn)題而使用HTTP頭數(shù)據(jù)10)異常管理是否使用結(jié)構(gòu)化的異常處理是否向客戶端公開(kāi)了太多的信息11)審核和日志記錄是否明確了要審核的活動(dòng)是否考慮如何流動(dòng)原始調(diào)用這身份2.應(yīng)用及傳輸安全WEB應(yīng)用系統(tǒng)的安全性從使用角度可以分為應(yīng)用級(jí)的安全與傳輸級(jí)的安全，安全性測(cè)試也可以從這兩方面入手。應(yīng)用級(jí)的安全測(cè)試的主要目的是查找Web系統(tǒng)自身程序設(shè)計(jì)中存在的安全隱患，主要測(cè)試區(qū)域如下。注冊(cè)與登陸：現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊(cè)，后登錄的方式。A.必須測(cè)試有效和無(wú)效的用戶名和密碼B.要注意是否存在大小寫(xiě)敏感，C.可以嘗試多少次的限制D.是否可以不登錄而直接瀏覽某個(gè)頁(yè)面等。在線超時(shí)：Web應(yīng)用系統(tǒng)是否有超時(shí)的限制，也就是說(shuō)，用戶登陸一定時(shí)間內(nèi)（例如15分鐘）沒(méi)有點(diǎn)擊任何頁(yè)面，是否需要重新登陸才能正常使用。操作留痕：為了保證Web應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要的。需要測(cè)試相關(guān)信息是否寫(xiě)進(jìn)入了日志文件，是否可追蹤。備份與恢復(fù)：為了防范系統(tǒng)的意外崩潰造成的數(shù)據(jù)丟失，備份與恢復(fù)手段是一個(gè)Web系統(tǒng)的必備功能。備份與恢復(fù)根據(jù)Web系統(tǒng)對(duì)安全性的要求可以采用多種手 段，如數(shù)據(jù)庫(kù)增量備份、數(shù)據(jù)庫(kù)完全備份、系統(tǒng)完全備份等。出于更高的安全性要求，某些實(shí)時(shí)系統(tǒng)經(jīng)常會(huì)采用雙機(jī)熱備或多級(jí)熱備。除了對(duì)于這些備份與恢復(fù)方式 進(jìn)行驗(yàn)證測(cè)試以外，還要評(píng)估這種備份與恢復(fù)方式是否滿足Web系統(tǒng)的安全性需求。傳輸級(jí)的安全測(cè)試是考慮到Web系統(tǒng)的傳輸?shù)奶厥庑?，重點(diǎn)測(cè)試數(shù)據(jù)經(jīng)客戶端傳送到服務(wù)器端可能存在的安全漏洞，以及服務(wù)器防范非法訪問(wèn)的能力。一般測(cè)試項(xiàng)目包括以下幾個(gè)方面。HTTPS和SSL測(cè)試：默認(rèn)的情況下，安全HTTP（Soure HTTP）通過(guò)安全套接字SSL（Source Socket Layer）協(xié)議在 端口443上使用普通的HTTP。HTTPS使用的公共密鑰的加密長(zhǎng)度決定的HTTPS的安全級(jí)別，但從某種意義上來(lái)說(shuō)，安全性的保證是以損失性能為代價(jià) 的。除了還要測(cè)試加密是否正確，檢查信息的完整性和確認(rèn)HTTPS的安全級(jí)別外，還要注意在此安全級(jí)別下，其性能是否達(dá)到要求。服務(wù)器端的腳本漏洞檢查：存在于服務(wù)器端的腳本常常構(gòu)成安全漏洞，這些漏洞又往往被黑客利用。所以，還要測(cè)試沒(méi)有經(jīng)過(guò)授權(quán)，就不能在服務(wù)器端放置和編輯腳本的問(wèn)題。防火墻測(cè)試：防火墻是一種主要用于防護(hù)非法訪問(wèn)的路由器，在Web系統(tǒng)中是很常用的一種安全系統(tǒng)。防火墻測(cè)試是一個(gè)很大很專業(yè)的課題。這里所涉及的只是對(duì)防火墻功能、設(shè)置進(jìn)行測(cè)試，以判斷本W(wǎng)eb系統(tǒng)的安全需求。另推薦安全性測(cè)試工具：Watchfire AppScan：商業(yè)網(wǎng)頁(yè)漏洞掃描器(此工具好像被IBM收購(gòu)