軟件安全測試PPT課件

1、授課內(nèi)容 軟件文檔測試軟件文檔測試 軟件安全測試軟件安全測試 網(wǎng)頁測試網(wǎng)頁測試文檔測試 軟件文檔的類型 文檔測試為什么重要 在測試文檔時(shí)要找什么軟件文檔的類型 1）包裝文字和圖形 2）市場宣傳材料、廣告以及其它插頁 3）授權(quán)/注冊登記表 4）eula（用戶許可協(xié)議） 5）標(biāo)簽和不干膠條 6）安裝和設(shè)置指導(dǎo) 對于復(fù)雜軟件，可以是完整的手冊。 7）用戶手冊。 主要是聯(lián)機(jī)手冊。 8）聯(lián)機(jī)幫助 9）指南、向?qū)Ш蚦bt（計(jì)算機(jī)基礎(chǔ)訓(xùn)練） 10）樣例、示例和模板 11）錯(cuò)誤提示信息軟件文檔的類型文檔測試為什么重要 提高易用性 提高可靠性 降低支持費(fèi)用 好的文檔可以通過恰當(dāng)?shù)慕忉尯鸵龑?dǎo)用戶解決困難來預(yù)防這種

2、情況。在測試文檔時(shí)要找什么 測試文檔有兩個(gè)等級 非代碼(如用戶手冊和包裝盒)，測試就是靜態(tài)過程，可以視之為技術(shù)編輯或技術(shù)校對。文檔和代碼緊密結(jié)合在一起（如超級鏈接的聯(lián)機(jī)手冊或提供幫助的剪紙朋友），就要進(jìn)行動態(tài)測試。這種情況屬于真正的軟件測試。文檔測試的實(shí)質(zhì) 1）文檔常常得不到足夠的重視； 2）編寫文檔的人可能對軟件做什么不甚了解； 3）印刷文檔制作要花不少時(shí)間，可能是幾周，甚至 幾個(gè)月。 由于這個(gè)時(shí)間差，軟件產(chǎn)品的文檔需要在軟件完成之前完稿鎖定。小結(jié) 從用戶的角度看，軟件文檔和軟件都是同樣的產(chǎn)品。聯(lián)機(jī)幫助索引遺漏一個(gè)重要條目，安裝指導(dǎo)中存在錯(cuò)誤步驟，或者出現(xiàn)顯眼的拼寫錯(cuò)誤，都屬于與其它軟件失敗

3、一樣的軟件缺陷。如果正確地測試文檔，就可以在用戶使用之前發(fā)現(xiàn)這些缺陷 作業(yè) 啟動windows畫圖程序，找出應(yīng)該測試的文檔例子。應(yīng)該找什么 windows畫圖程序幫助索引包含200多個(gè)條目，是否要測試每一個(gè)條目看能夠到達(dá)正確的幫助主題嗎？假如有10000個(gè)索引條目呢？ 判斷是非：測試錯(cuò)誤提示信息屬于文檔測試范圍 好的文檔以哪三種方式確保產(chǎn)品的整體質(zhì)量？授課內(nèi)容 軟件文檔測試軟件文檔測試 軟件安全測試軟件安全測試 網(wǎng)頁測試網(wǎng)頁測試軟件安全測試的必要性軟件安全性測試 軟件安全性測試是確定軟件的安全特性實(shí)現(xiàn)是否與預(yù)期設(shè)計(jì)一致的過程，包括安全功能測試、滲透測試與驗(yàn)證過程 軟件安全性測試可分為安全功能測

4、試和安全漏洞測試兩個(gè)方面 安全功能測試基于軟件的安全功能需求說明，測試 軟件的安全功能實(shí)現(xiàn)是否與安全需求一致，需求實(shí)現(xiàn)是否正確完備。 軟件主要的安全功能需求包括數(shù)據(jù)機(jī)密性、完整性、可用性、不可否認(rèn)性、身份認(rèn)證、授權(quán)、訪問控制、審計(jì)跟蹤、委托、隱私保護(hù)、安全管理等軟件安全性測試軟件安全功能測試實(shí)例 安全漏洞測試從攻擊者的角度，以發(fā)現(xiàn)軟件的安全漏洞為目的。 安全漏洞是指系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、操作、管理上存在的可被利用的缺陷或弱點(diǎn)。 安全漏洞測安全漏洞測試實(shí)例試實(shí)例軟件安全性測試黑客的動機(jī) 挑戰(zhàn)/成名 好奇 使用/借用 惡意破壞 偷竊安全測試步驟 進(jìn)行威脅模式分析（評估軟件系統(tǒng)的安全問題）進(jìn)行威脅模式分

5、析（評估軟件系統(tǒng)的安全問題） 構(gòu)建威脅模式分析小組構(gòu)建威脅模式分析小組 確認(rèn)價(jià)值確認(rèn)價(jià)值 構(gòu)建一個(gè)體系結(jié)構(gòu)總體圖構(gòu)建一個(gè)體系結(jié)構(gòu)總體圖 分解應(yīng)用程序分解應(yīng)用程序 確認(rèn)威脅確認(rèn)威脅 記錄威脅記錄威脅 威脅等級評定威脅等級評定 潛在的損害潛在的損害 可反復(fù)性可反復(fù)性 可利用性可利用性 受影響的用戶受影響的用戶 可發(fā)現(xiàn)性可發(fā)現(xiàn)性授課內(nèi)容 軟件文檔測試軟件文檔測試 軟件安全測試軟件安全測試 網(wǎng)頁測試網(wǎng)頁測試網(wǎng)頁測試網(wǎng)頁測試包括以下內(nèi)容： 1. 功能測試功能測試 2. 可用性測試可用性測試 3.負(fù)載負(fù)載/壓力測試壓力測試 4.操作系統(tǒng)、瀏覽器兼容測試操作系統(tǒng)、瀏覽器兼容測試 5.安全性測試安全性測試 6

6、.web應(yīng)用系統(tǒng)導(dǎo)航測試應(yīng)用系統(tǒng)導(dǎo)航測試 1. 功能測試功能測試包括以下內(nèi)容： 表單測試表單測試 鏈接測試鏈接測試 數(shù)據(jù)校驗(yàn)數(shù)據(jù)校驗(yàn) cookies 測試測試表單測試什么是表單？ 表單就是一些需要在線顯示和填寫的表格表單就是一些需要在線顯示和填寫的表格。 表單有一些標(biāo)準(zhǔn)操作，如確認(rèn)、保存、提表單有一些標(biāo)準(zhǔn)操作，如確認(rèn)、保存、提交等。交等。web應(yīng)用系統(tǒng)中的表單測試表單測試示例 示例表單將檢查如下功能：姓名是否為空email地址是否為空，是否包含“”和“.”主頁網(wǎng)址是否為空，是否包含“http:/” “.”內(nèi)容是否為空表單測試表單測試案例分析 案例演示：案例演示：表單提交信息不完表單提交信息不完

7、整整 錯(cuò)誤現(xiàn)象及重現(xiàn)步驟錯(cuò)誤現(xiàn)象及重現(xiàn)步驟：使用使用ie6登錄登錄“生產(chǎn)工程管理生產(chǎn)工程管理系統(tǒng)系統(tǒng)”，用戶名為：，用戶名為：sa，密，密碼：碼：admin “導(dǎo)航欄導(dǎo)航欄”中點(diǎn)擊中點(diǎn)擊“用戶管理用戶管理”，輔助欄中點(diǎn)擊，輔助欄中點(diǎn)擊“供電公供電公司司”，“財(cái)務(wù)部財(cái)務(wù)部” 在打開的在打開的“創(chuàng)建人員信息創(chuàng)建人員信息”頁面中填入人員信息，注意頁面中填入人員信息，注意不填入不填入“姓名姓名”信息，點(diǎn)擊信息，點(diǎn)擊“保存保存”，如圖所示：，如圖所示：顯示操作成功信息，刷新輔顯示操作成功信息，刷新輔助欄，可以看到新添加的姓助欄，可以看到新添加的姓名為名為“null”的用戶，如圖所的用戶，如圖所示：示：

8、表單測試表單測試案例分析 案例演示：表單提交信息不正確 錯(cuò)誤現(xiàn)象及重現(xiàn)步驟：使用ie6登錄“生產(chǎn)工程管理系統(tǒng)”，用戶名為：sa，密碼：admin 導(dǎo)航欄中點(diǎn)擊“崗位名稱管理”，輔助欄中點(diǎn)擊“新增崗位名稱” 在打開“新增崗位名稱信息”頁面中，填入“崗位名稱”和“拼音碼”，注意“拼音碼”信息內(nèi)填入的是漢字，點(diǎn)擊“保存”，如圖所示：顯示操作成功信息，刷新輔助欄，可以看到新添加“科員”崗位，點(diǎn)擊“科員”，可以看到科員的崗位信息，顯示的拼音碼與填入時(shí)一致。如圖所示： web應(yīng)用系統(tǒng)鏈接測試 鏈接是web 網(wǎng)站的一個(gè)主要特征，它是在頁面之間切換和引導(dǎo)用戶去一些未知地址頁面的主要手段。 鏈接是否正確 鏈接頁

9、面是否存在 是否有孤立的頁面 注意：可以使用工具進(jìn)行web鏈接測試鏈接測試鏈接測試案例分析 案例演示：點(diǎn)擊鏈接無反應(yīng) 錯(cuò)誤現(xiàn)象：原因：超鏈接地址有誤，從圖3-1中地址欄可以看出 解決辦法：更正超鏈接地址 鏈接測試鏈接測試案例分析 案例演示：鏈接頁面不存在 錯(cuò)誤現(xiàn)象及重現(xiàn)步驟：使用ie6登錄“生產(chǎn)工程管理系統(tǒng)”，用戶名：sa，密碼：admin 點(diǎn)擊“退出系統(tǒng)”，如圖所示：出現(xiàn)提示信息，告之鏈接頁面不存在，如圖所示：原因：鏈接頁面不存在 鏈接測試鏈接測試案例分析 案例演示：有孤立頁面存在 錯(cuò)誤現(xiàn)象及重現(xiàn)步驟：使用ie6登錄“生產(chǎn)工程管理系統(tǒng)”，用戶名：sa，密碼：admin 直接在ie6地址欄輸入

10、“http:/主機(jī)ip:8080/bx/list/listusertable.jsp”，回車，顯示數(shù)據(jù)庫中存放用戶信息的表的內(nèi)容 ，如圖所示：原因：開發(fā)人員在開發(fā)時(shí)為了方便操作而編寫的臨時(shí)頁面，在發(fā)布版本前未將這類臨時(shí)頁面刪除 。解決辦法： 刪除孤立頁面 鏈接測試 鏈接測試要點(diǎn) 超鏈接本身言簡意賅，具有可讀性 定期檢查外部鏈接 設(shè)計(jì)出友好的提示信息頁面 本章內(nèi)容總結(jié) 用戶輸出接口測試 輸出屬性修改后的結(jié)果 屏幕刷新顯示 數(shù)據(jù)結(jié)構(gòu)的測試 數(shù)據(jù)結(jié)構(gòu)溢出 數(shù)據(jù)結(jié)構(gòu)不符合約束 操作數(shù)與操作符不符 遞歸調(diào)用自身 計(jì)算結(jié)果溢出 數(shù)據(jù)共享或關(guān)聯(lián)功能計(jì)算出錯(cuò) 補(bǔ)充:web應(yīng)用系統(tǒng)鏈接測試web應(yīng)用系統(tǒng)導(dǎo)航測試

11、導(dǎo)航測試案例分析 案例演示一：標(biāo)識頁面所處web應(yīng)用系統(tǒng)中的位置正確示例：打開北大青鳥主頁，選擇“新聞中心”，打開一新聞，如圖所示其他正確示例：打開北大青鳥主頁，單擊主導(dǎo)航欄“accp” ，如圖所示web應(yīng)用系統(tǒng)導(dǎo)航測試導(dǎo)航測試案例分析 案例演示：導(dǎo)航欄內(nèi)容未跟隨操作動態(tài)更新 現(xiàn)象重現(xiàn)步驟：登錄生產(chǎn)工程管理系統(tǒng)，在左邊導(dǎo)航欄中選擇“用戶管理”點(diǎn)擊“所有單位”，選擇“生計(jì)部”，主框體出現(xiàn)“創(chuàng)建人員信息”填寫表單，添加一用戶，如圖所示：點(diǎn)擊“保存”，顯示保存成功，如圖所示，點(diǎn)擊“返回”，新添加用戶未在“生計(jì)部”下顯示。 解決方法：在操作可能更改導(dǎo)航欄內(nèi)容的步驟時(shí)增加導(dǎo)航欄刷新 web應(yīng)用系統(tǒng)導(dǎo)航測試導(dǎo)航測試案例分析 案例演示四：導(dǎo)航條目排列混亂 錯(cuò)誤現(xiàn)象一：“退出登陸