軟件測(cè)試中安全性測(cè)試常見(jiàn)的十個(gè)問(wèn)題

1、軟件測(cè)試中安全性測(cè)試常見(jiàn)的十個(gè)問(wèn)題來(lái)隸：考試大【考試大：我的學(xué)習(xí)樂(lè)岡，我的考試專家】2009年6f 16 IIK沒(méi)有被臉證的入測(cè)試方法：數(shù)矗類型（字符申.整型.實(shí)數(shù).帑允許的字符集44小和最犬的長(zhǎng)度是會(huì)允許空輸入?yún)⑸⒆惴袷潜仨毜闹?足會(huì)允許數(shù)fit范用特定的8 （枚舉型）待定的模式（正則衣達(dá)式2、有問(wèn)H的訪何控制測(cè)試方法：主妥用需耍駿證用p身份以及權(quán)限的頁(yè)面.復(fù)制該頁(yè)面的誠(chéng)地址.關(guān)閉該頁(yè)而以際.住看是否可以丸接進(jìn)入該復(fù)刨好的地址例：從一個(gè)頁(yè)而鏈到另一個(gè)頁(yè)而的間陳可以呑到URL地址總接輸入該地址.可以對(duì)到門己沒(méi)有權(quán)限的頁(yè)面信息3、H的認(rèn)證和會(huì)話管理分折：帳號(hào)列衣：系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所冇

2、的悵號(hào).如果必須耍一個(gè)用戶列農(nóng).推薦使用某種形式的假名（屛暮名來(lái)指向?qū)嶋H的帳號(hào).瀏覽器緩：認(rèn)證和會(huì)話數(shù)搏不應(yīng)該作為GET的第分來(lái)發(fā)送.應(yīng)該使用POST.4、何flh跨站騰本（XSS分析：攻擊者使用跨砧腳本來(lái)發(fā)送悪點(diǎn)代碼餡沒(méi)有發(fā)覺(jué)的用戶.竊取他機(jī)器上的任盤資料測(cè)試方法：HTML標(biāo)簽：v.轉(zhuǎn)義字符：&（&幾 （）： （）：（空格）：押本ifirt!特殊字符宀544小和最犬的長(zhǎng)度是會(huì)允許空輸入例：對(duì)God、Label. Tieeiw類的輸入松來(lái)作驗(yàn)證.輸入的內(nèi)將會(huì)按ffihtmlift法斛析出來(lái)h囊沖區(qū)溢出分析：用戶使用緩沖區(qū)溢出滋破壞web應(yīng)用田序的棧.通過(guò)發(fā)送持別冷耳的代碼到web理侈中.攻it

3、r ftPJ以讓web應(yīng)用円序來(lái)執(zhí)行任慰代因.6、注入氏H洞： 一個(gè)驗(yàn)iE用戶登姑的頁(yè)而.如果使用的勿ifi句為：Sekcc fiom table A where uccrname= + usemame*、and pa兔 word Sql輸入*0X1 = 1 就可以不輸入任何pmvord進(jìn)行攻擊7. 不恰當(dāng)?shù)漠惓Ｌ幚矸治觯簝倚蛟跇尦鲱５臅r(shí)候稔出了比較許細(xì)的內(nèi)扯露了不應(yīng)該浪示的執(zhí)行細(xì)節(jié)網(wǎng)站存在緡在洲洌8、不安全的存儘沒(méi)有加密關(guān)毬數(shù)爭(zhēng)例：viewsource： bttp抱址可以査看激代碼在頁(yè)而輸入密因.頁(yè)而總示的是右8t文件就可以呑見(jiàn)剛才輸入的密碼.9、拒絶服務(wù)分折：攻擊音可以從一個(gè)主機(jī)產(chǎn)生足夠霽的流娥來(lái)耗盡衆(zhòng)多應(yīng)用田汗療終使段序陷入那抵需要做負(fù)儀均衡來(lái)對(duì)付.2、不安全的E*tf理分析：Config中的鏈按字符申以以用戶信息曲I件.數(shù)堀儲(chǔ)侑恩祁