软件应用程序安全开发指南(SDLC)(24)
2023-06-18 来源:飞速影视
· 压力测试的具体应全部包含在测试大纲中,在大纲的测试用例中体现具体的测试方法。
· 测试大纲中的这些要求应当参照设计说明书中所描述的设计目标进
行测试用例的设计,包括但不限于:
· 应用系统服务器端和单个终端进行安全数据传输的最大容量。
· 应用系统服务器端能够与多少终端同时进行安全数据传输。
· 服务器承受的最大并发连接数。
4、 渗透性测试:模拟攻击手段,对应用系统抵抗攻击的能力进行测试。主要测试应用程序及应用系统配置上的安全漏洞。
· 渗透测试的具体应全部包含在测试大纲中,在大纲的测试用例中体现具体的测试方法。
· 测试大纲中渗透测试方法的选择需要依据设计说明书中描述的应用系统采用的开发工具及应用系统安装所需要的基础应用平台,如iis、apached等,来设计不同的测试方法,包括但不限于:
· 对webserver的渗透攻击测试或者工具扫描性测试。
· SQL注入、跨栈攻击。
5、 审核性测试:
· 代码审核。这不是必需的测试手段,如果条件允许,可以针对容易出现代码漏洞的程序,特别是关于身份认证等方面的部分代码进行审核。
· 可以采用开发相关的专用扫描工具,或者编制相应的脚本程序,检查代码中的不安全函数的使用,如:strcpy(),strcat()等。
6、 测试过程中,应详细记录测试过程发生的每一件事情,列出测试过程中
发现的问题。这些信息包括:发现了什么,在哪里发现的,当时的环境,这些问题是否可重现。
7、 应根据测试的过程和测试结果,提出被测试系统、测试过程等方面的改进说明。
8、 应确保测试用例、测试内容和测试结果的保密性。
4.3.测试环境及人员安全要求
1. 测试环境的物理、硬软件环境要求应当可以模拟真实环境。
2. 为确保测试环境的安全,应将测试环境与开发环境、生产环境相隔离,避免测试工作对业务的影响。
3. 测试数据如果选择是真实数据,应限定使用该数据的测试人员的数量,并在测试完成后全部删除。
4. 系统测试和验收通常需要大量的(真实数据)尽可能靠近实际运行数据的测试数据。应避免使用含有个人信息的业务数据库。如果要使用其中
信息,在用之前应使其失去个性化。当把运行数据用于测试目的时,应采取以下措施保护运行数据。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号