




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、安全性測試用例1、WEB系統(tǒng)安全性說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case001:客戶端驗證,服務(wù)器端驗證(禁用腳本調(diào)試,禁用Cookies)Summary:檢驗系統(tǒng)權(quán)限設(shè)置的有效性Steps:1、輸入很大的數(shù)(如4,294,967,269),輸入很小的數(shù)(負(fù)數(shù))。2、輸入超長字符,如對輸入文字長度有限制,則嘗試超過限制,剛好到達(dá)限制字?jǐn)?shù)時有何反應(yīng)。3、輸入特殊字符如:!#$%&*()_+:”|4、輸入中英文空格,輸入字符串中間含空格,輸入首尾空格5、輸入特殊字符串NULL,null,0x0d 0x0a6、輸入正常字符串7、
2、輸入與要求不同類型的字符,如: 要求輸入數(shù)字則檢查正值,負(fù)值,零值(正零,負(fù)零),小數(shù),字母,空值; 要求輸入字母則檢查輸入數(shù)字8、輸入html和javascript代碼9、某些需登錄后或特殊用戶才能進(jìn)入的頁面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入;10、對于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯,是否可以非法進(jìn)入某些頁面;Expected Results:1、 輸入的驗證碼錯誤。2、 輸入的驗證碼過長。3、 輸入的驗證碼錯誤。4、 輸入的驗證碼錯誤。5、 輸入的驗證碼錯誤。6、 輸入的驗證碼正確,成功登陸系統(tǒng)。7、 輸入的驗證碼
3、錯誤。8、 輸入的驗證碼錯誤。9、系統(tǒng)權(quán)限設(shè)置是有效的。場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case002:關(guān)于URLSummary:檢驗系統(tǒng)防范非法入侵的能力Steps:1、某些需登錄后或特殊用戶才能進(jìn)入的頁面,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入;2、對于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址是否出錯,是否可以非法進(jìn)入頁面;3、搜索頁面等url中含有關(guān)鍵字的,輸入html代碼或JavaScript看是否在頁面
4、中顯示或執(zhí)行。4、輸入善意字符。Expected Results:1、 不可以直接通過直接輸入網(wǎng)址的方式進(jìn)入。2、 對于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開網(wǎng)址出錯,不可以非法進(jìn)入頁面。3、 輸入html代碼或JavaScript看是不會在頁面中顯示或執(zhí)行。4、 正常進(jìn)入頁面。5、 系統(tǒng)防范非法入侵的能力強。場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case003:日志記錄的完整性Summary:檢驗系統(tǒng)運行的時候是否
5、會記錄完整的日志Steps:1、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會記錄相應(yīng)的操作員。2、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會記錄相應(yīng)的操作時間。3、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會記錄相應(yīng)的操作事項。5、 進(jìn)行詳單查詢,檢測系統(tǒng)是否會記錄相應(yīng)的IP地址等。Expected Results:1、 系統(tǒng)會記錄相應(yīng)的操作員。2、 系統(tǒng)會記錄相應(yīng)的操作時間。3、 系統(tǒng)會記錄相應(yīng)的系統(tǒng)的狀態(tài)。4、 系統(tǒng)會記錄相應(yīng)的操作事項。5、 系統(tǒng)會記錄相應(yīng)的IP地址。6、 系統(tǒng)運行的時候會記錄完整的日志場景法Pass/Fail:Test Notes:Author:說明:執(zhí)
6、行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case004:軟件安全性測試涉及的方面Summary:檢驗系統(tǒng)的數(shù)據(jù)備份Steps:1、 是否設(shè)置密碼最小長度2、 用戶名和密碼是否可以有空格和回車?3、 是否允許密碼和用戶名一致4、 防惡意注冊:可含用自動填表工具自動注冊用戶?5、 遺忘密碼處理6、 有無缺省的超級用戶?7、 有無超級密碼?8、 密碼錯誤有無限制?9、 密碼復(fù)雜性(如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符)Expected Results:1、 是。2、 不可以3、 否4、 不可以5、 是6、 無7、 無8、 有9、 有場景法
7、Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case005:沒有被驗證的輸入Summary:檢驗輸入驗證Steps:1、 數(shù)據(jù)類型(字符串,整型,實數(shù),等)2、 允許的字符集3、 最小和最大的長度4、 是否允許空輸入5、 參數(shù)是否是必須的6、 重復(fù)是否允許7、 數(shù)值范圍8、 特定的值(枚舉型)9、 特定的模式(正則表達(dá)式)Expected Results:對上述輸入有控制場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Ex
8、pected Results,得出測試結(jié)論Test Case006:訪問控制Summary:檢驗訪問控制Steps:1、用于需要驗證用戶身份以及權(quán)限的頁面,復(fù)制該頁面的url地址,關(guān)閉該頁面以后,查看是否可以直接進(jìn)入該復(fù)制好的地址例:從一個頁面鏈到另一個頁面的間隙可以看到URL地址,直接輸入該地址,可以看到自己沒有權(quán)限的頁面信息Expected Results:1、不能進(jìn)入場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case007:輸入框驗證Summary: 驗證輸入框是否經(jīng)
9、驗證Steps:對Grid、Label、Tree view類的輸入框未作驗證,輸入的內(nèi)容會按照html語法解析出來Expected Results:對上述輸入有控制場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case008:關(guān)鍵數(shù)據(jù)加密Summary: 是否對關(guān)鍵數(shù)據(jù)進(jìn)行加密Steps:1、登錄界面密碼輸入框中輸入密碼,頁面顯示的是 *,右鍵,查看源文件是否可以看見剛才輸入的密碼Expected Results:1、不能看到場景法Pass/Fail:Test Notes:Au
10、thor:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case009:認(rèn)證請求方式Summary:檢驗認(rèn)證請求方式Steps:1、認(rèn)證和會話數(shù)據(jù)是否使用POST方式,而非GET方式Expected Results:1、采用POST方式場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case010:SQL注入Summary:檢驗是否存在SQL注入Steps:1、Expected Results:1、無效場景法Pass/Fai
11、l:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case011:文件上傳風(fēng)險Summary: Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case012:功能失效、異常帶來的安全風(fēng)險Summary: Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)
12、行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case013:操作日志檢查Summary: Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case014:登錄次數(shù)限制Summary: Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Resu
13、lts,得出測試結(jié)論Test Case015:IE回退按鈕Summary: Steps:1、退出系統(tǒng)后,點擊IE回退按鈕,能否重新回到系統(tǒng)中Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case016:通信保密性Summary: Steps:1、測試主要應(yīng)用系統(tǒng),查看當(dāng)通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng),另一方是否能自動結(jié)束會話;系統(tǒng)是否能在通信雙方建立會話之前,利用密碼技術(shù)進(jìn)行會話初始化驗證(如SSL建立加密通道前是否利用密碼技
14、術(shù)進(jìn)行會話初始驗證);在通信過程中,是否對整個報文或會話過程進(jìn)行加密;2、測試主要應(yīng)用系統(tǒng),通過通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng),查看另一方是否能自動結(jié)束會話,測試當(dāng)通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng),另一方是否能自動結(jié)束會話的功能是否有效;3、測試主要應(yīng)用系統(tǒng),通過查看通信雙方數(shù)據(jù)包的內(nèi)容,查看系統(tǒng)在通信過程中,對整個報文或會話過程進(jìn)行加密的功能是否有效。Expected Results:1、場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case017:通信保密
15、性Summary: Steps:1、a) 應(yīng)限制單個用戶的多重并發(fā)會話;b) 應(yīng)對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制;c) 應(yīng)對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制;d) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定和鑒別失敗鎖定,并規(guī)定解鎖或終止方式;e) 應(yīng)禁止同一用戶賬號在同一時間內(nèi)并發(fā)登錄;f) 應(yīng)對一個訪問用戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額;g) 應(yīng)根據(jù)安全屬性(用戶身份、訪問地址、時間范圍等)允許或拒絕用戶建立會話連接;h) 當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時,應(yīng)能檢測和報警;i) 應(yīng)根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級,根據(jù)優(yōu)先級分配系統(tǒng)資源,保證優(yōu)先級低的主
16、體處理能力不會影響到優(yōu)先級高的主體的處理能力。Expected Results:1、場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case018:數(shù)據(jù)備份和恢復(fù)Summary: Steps:1、a) 應(yīng)提供自動備份機制對重要信息進(jìn)行本地和異地備份;b) 應(yīng)提供恢復(fù)重要信息的功能;c) 應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器的硬件冗余;d) 應(yīng)提供重要業(yè)務(wù)系統(tǒng)的本地系統(tǒng)級熱備份。Expected Results:1、場景法Pass/Fail:Test Notes:Author:2、
17、服務(wù)器安全性說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case001:Summary:操作系統(tǒng)賬戶 Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case002:文件分區(qū)格式Summary: Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的Expected Results,得出測試結(jié)論Test Case003:中間件密碼Summary: Steps:1、Expected Results:1、無效場景法Pass/Fail:Test Notes:Author:說明:執(zhí)行每一步Steps時,請參照對應(yīng)編號的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 村莊房屋綠化管理辦法
- 城市供水系統(tǒng)恒壓控制技術(shù)優(yōu)化設(shè)計研究
- AI時代數(shù)據(jù)價值最大化:從底層架構(gòu)到大模型應(yīng)用落地實踐
- 園區(qū)地面車輛管理辦法
- 物業(yè)公司員工績效考核與獎懲制度
- 鋼結(jié)構(gòu)廠房施工組織設(shè)計優(yōu)化與鋼結(jié)構(gòu)部分研究
- 園區(qū)弱電維護(hù)管理辦法
- 城市更新與拆遷工作的策略與實施
- 智慧停車試點管理辦法
- 沈陽快遞管理辦法細(xì)則
- 海灘沖浪課程行業(yè)跨境出海戰(zhàn)略研究報告
- 圍墻維修施工方案(3篇)
- 設(shè)備安裝調(diào)試服務(wù)合同
- 壓瘡醫(yī)療護(hù)理
- 三農(nóng)村能源利用方案手冊
- 《高血壓腎損害》課件
- 全國高校輔導(dǎo)員職業(yè)能力大賽基礎(chǔ)知識測試題題庫(60問)
- 2024用電信息采集系統(tǒng)技術(shù)規(guī)范1-3部分
- 滲濾液處理應(yīng)急預(yù)案
- 全冊背記資料-2024-2025學(xué)年七年級地理上學(xué)期湘教版
- 《水工建筑物》課件-模塊四:土石壩
評論
0/150
提交評論