安全性测试
最新回答
不要忘記
2020-07-09 11:54:23
安全性测试是确保系统在面临各种潜在威胁时能够保持稳定和安全的重要环节。以下是对用户问题中提到的安全性测试要点的详细解答:
1. 用户权限测试用户权限控制
功能校验:确保每个用户只能访问和操作其被授权的功能。例如,用户A被授权操作某功能,而用户B未被授权,应验证用户B无法操作该功能。
Session篡改:测试通过篡改Session信息来模拟其他用户的行为。例如,将用户A的Session信息复制到用户B的请求中,看系统是否能识别并阻止这种非法操作。
页面访问控制:验证用户只能访问其被授权的页面。例如,用户A被授权查看某页面,而用户B未被授权,应验证用户B无法通过直接输入URL来访问该页面。
页面权限控制
登录验证:确保需要登录的页面在用户未登录时无法访问。
页面跳转验证:确保用户必须按照预定的流程访问页面,不能跳过某些必要页面直接访问后续页面。
- URL参数检查:验证URL中的参数是否正确,特别是订单号、金额等关键参数。
- 敏感信息隐藏:确保登录名、密码等敏感信息不在URL中显示。
- 参数篡改测试:修改URL中的参数值,看程序是否能识别并处理非法输入。
- 跨站点脚本注入(XSS)测试:在URL中注入JS脚本,看是否能成功执行,从而发现潜在的XSS漏洞。
- SQL注入测试:在URL中写入SQL注入语句,看是否能被执行,从而发现潜在的SQL注入漏洞。
- XSS脚本注入测试:在表单填写框中直接注入JS脚本,验证程序是否能阻止脚本的执行。
- SQL脚本注入测试:在表单中注入SQL脚本,看是否能被执行,从而发现潜在的SQL注入漏洞。
- Session互串测试:将用户A的Session信息复制到用户B的请求中,看系统是否能识别并阻止这种非法操作。
- Session超时测试:在Session超时后,尝试对页面进行操作,验证系统是否能正确校验Session状态并阻止非法操作。
- 加密传输验证:确保关键数字(如订单号、金额等)在传输过程中是加密的,防止被截获和篡改。
综上所述,安全性测试涉及多个方面,包括用户权限、URL安全、表单安全提交、Session安全以及关键数字的明文传输等。通过全面的安全性测试,可以发现并修复系统中的潜在安全漏洞,确保系统的稳定性和安全性。
热门标签
