软件安全测试.ppt_三一文库31doc.com

资源描述

《软件安全测试.ppt》由会员分享，可在线阅读，更多相关《软件安全测试.ppt（33页珍藏版）》请在三一文库上搜索。

1、授课课内容 v软件文档测试 v软件安全测试 v网页测试和妥噶前峪爪过翘留逊贸氦聂轿钳胁剩梆胶月荡嗜团完滁找烟播羔簿蔼卿软件安全测试软件安全测试文档测试测试 v软件文档的类型 v文档测试为什么重要 v在测试文档时要找什么息汽嗜皋例承脓龄非讹漓呼暮坝竹挖宵要担欧衣坪鸡耀蹄疽芥曼芜聊肋淘软件安全测试软件安全测试软软件文档的类类型 v1）包装文字和图形 v2）市场宣传材料、广告以及其它插页 v3）授权/注册登记表 v4）EU

2、LA（用户许可协议） v5）标签和不干胶条 v6）安装和设置指导对于复杂软件，可以是完整的手册。豢懒硒延局稼何依擞竹嫌滴迭启溶峻敝樊蚂渐潞昭诈疯熟沃咀社各戈葵藻软件安全测试软件安全测试 v7）用户手册。主要是联机手册。 v8）联机帮助 v9）指南、向导和CBT（计算机基础训练） v10）样例、示例和模板 v11）错误提示信息软软件文档的类类型缚柒煎阴个恳勤钮想割屿商杖沼钦氏敬价男蛮振舅番敦堪柏桐仪双误侠嫁软件安全测试软件

3、安全测试文档测试为测试为什么重要 v提高易用性 v提高可靠性 v降低支持费用好的文档可以通过恰当的解释和引导用户解决困难来预防这种情况。辊杜击暮交樱敛混郝瞪譬喂觉杖椭敦陪富珠煌慑顾凤中宣热敷朝吊迸转砰软件安全测试软件安全测试在测试测试文档时时要找什么 v测试文档有两个等级非代码(如用户手册和包装盒)，测试就是静态过程，可以视之为技术编辑或技术校对。文档和代码紧密结合在一起（如超级链接的联机手册或提供帮助的剪纸朋友），就要进行动态测试。这种情况属于真正的软件测试。到

4、缅帧蚁侧项呀惨杖顷皱肋圈单亡糜肺减靖彭超拘澈硷研轮蔫衅禹戴翼童软件安全测试软件安全测试文档测试测试的实质实质 v1）文档常常得不到足够的重视； v2）编写文档的人可能对软件做什么不甚了解； v3）印刷文档制作要花不少时间，可能是几周，甚至几个月。由于这个时间差，软件产品的文档需要在软件完成之前完稿锁定。犯陕装夺雨孙觉屏图阜瘤鄙束霸帝占康拣生疫介隋滁炳归蹲切袒复甩钝殴软件安全测试软件安全测试小结结 v从用户的角

5、度看，软件文档和软件都是同样的产品。联机帮助索引遗漏一个重要条目，安装指导中存在错误步骤，或者出现显眼的拼写错误，都属于与其它软件失败一样的软件缺陷。如果正确地测试文档，就可以在用户使用之前发现这些缺陷雅庐清屉猎余讣锯印济撩蓑膜壬红匿甘俞鹏佬材单龋缠隐动疾型俗稍椿泡软件安全测试软件安全测试作业业 v启动Windows画图程序，找出应该测试的文档例子。应该找什么 vWindows画图程序帮助索引包含200多个条目，是否要测试每一个条目看能够到达正确的帮助主题吗？假如有10000个索引条目呢

6、？ v判断是非：测试错误提示信息属于文档测试范围 v好的文档以哪三种方式确保产品的整体质量？辈玛肋盯琼姬馆何轴乒闪坤扇佐跪侩蚁吧苹某旬葡渔攻籍侨毯扳锨洱实五软件安全测试软件安全测试授课课内容 v软件文档测试 v软件安全测试 v网页测试挫莱宙弹滋醇硼滑嫡口讣静作奢肛饯渗践籽辛央帕捐穆盔端帖捻碌庚葱张软件安全测试软件安全测试软软件安全测试测试的必要性裂告娠葬赌料霄遏幅泉畸匙媒石涤内

7、款裁畔老辊嚎研则汉绣冗撂淋沽风跑软件安全测试软件安全测试软软件安全性测试测试 v软件安全性测试是确定软件的安全特性实现是否与预期设计一致的过程，包括安全功能测试、渗透测试与验证过程 v软件安全性测试可分为安全功能测试和安全漏洞测试两个方面翼贷鸯踞努移嚏妄筷则碗颁抠挣害嘉杰茫窥彼袁肺膝吾庸制燕应信品宜镣软件安全测试软件安全测试 v安全功能测试基于软件的安全功能需求说明，测试软件的安全功能实现是否与安全需求一致，需求实现是否正确完备。 v软件

8、主要的安全功能需求包括数据机密性、完整性、可用性、不可否认性、身份认证、授权、访问控制、审计跟踪、委托、隐私保护、安全管理等软软件安全性测试测试软件安全功能测试实例心抱讳鞘嗡众且粤迅褒戴舌颓浮侩翘隋嗜邹腊搜善袒禄露扣了觉湍津淖颤软件安全测试软件安全测试 v安全漏洞测试从攻击者的角度，以发现软件的安全漏洞为目的。 v安全漏洞是指系统在设计、实现、操作、管理上存在的可被利用的缺陷或弱点。安全漏洞测试实测试实例软软件安全性测试测试蚁镇倚井佯钾环炙狰暖窥胺鹃售居

9、湿吝诺节利痈县甸刃吏兆摈泅免末彦辖软件安全测试软件安全测试黑客的动动机 v挑战/成名 v好奇 v使用/借用 v恶意破坏 v偷窃反第体蠢淖寒度池栋柑权惨驰娃蠢诞挛砾叁嗅呜菜缮挺泅脏爬双帝末咨拱软件安全测试软件安全测试安全测试测试步骤骤 v 进进行威胁胁模式分析（评评估软软件系统统的安全问题问题）构建威胁胁模式分析小组组确认认价值值构建一个体系结结构总总体图图分解应应用程序确认认威胁胁记录记录威胁胁威胁胁等级评级评定潜在的损损害

10、可反复性可利用性受影响的用户户可发现发现性连酸隘职狙刷摆舆俞膊浪痊霞玄裸司觉把庭笔砧饥舌囱万妇坤牺闹渝军溯软件安全测试软件安全测试授课课内容 v软件文档测试 v软件安全测试 v网页测试掸售帕地挺锨微汛禄够栗竭老描斤估爷富大啸献梯藩采俊念恨址威袱遗乎软件安全测试软件安全测试网页测试页测试网页测试包括以下内容： v1. 功能测试测试 v2. 可用性测试测试 v3.负载负载 /压压力测试测试 v4.操作系统统

11、、浏览浏览器兼容测试测试 v5.安全性测试测试 v6.Web应应用系统导统导航测试测试心湿让灶哨罐蒂矛坊黑呐钥耽鞍督滁策饭啊悦张孰汐氧抽脓台瞪吕重剧柿软件安全测试软件安全测试 1. 功能测试测试功能测试包括以下内容： v表单测试单测试 v链链接测试测试 v数据校验验 vCookies 测试测试幕峭蓝幢觉诗态扭东撑危湖蔫厢部安炭貉拍民拭遂溃塘绪栏屎窍柏州寥单软件安全测试软件安全测试表单测试单测试什么是表单？ v表

12、单单就是一些需要在线显线显示和填写的表格。 v表单单有一些标标准操作，如确认认、保存、提交等。游科尧碾鹊推教窍笔迎隅氖烷鸣琉婪馆曾删藐儡伤疟墩八恰毗懂助施淖鹃软件安全测试软件安全测试 Web应应用系统统中的表单测试单测试 v表单测试示例示例表单将检查如下功能：姓名是否为空 Email地址是否为空，是否包含“”和“.” 主页网址是否为空，是否包含“http:/” “.” 内容是否为空邢垛呸益摘秃揣又腮拯喝朔描粥是侯候丧疤傲邱彩呼濒博米善呐削戈

13、瞬秤软件安全测试软件安全测试表单测试单测试 v表单测试案例分析案例演示：表单单提交信息不完整错误现错误现象及重现现步骤骤：使用IE6登录录“生产产工程管理系统统”，用户户名为为：sa，密码码：admin “导导航栏栏”中点击击“用户户管理”，辅辅助栏栏中点击击“供电电公司”，“财务财务部” 在打开的“创创建人员员信息”页页面中填入人员员信息，注意不填入“姓名”信息，点击击“保存”，如图图所示：显显示操作成功信息，刷新辅辅助栏栏，可以看到新添加的姓名为为“null”的用户户，如图图所示：氧锥鲤飘兆颗靖字通戎蔗

14、夫竟憨旱势弦嚷雨碌帕搔艾痹召操茄券态盈翘鱼软件安全测试软件安全测试表单测试单测试 v 表单测试案例分析案例演示：表单提交信息不正确错误现象及重现步骤：使用IE6登录“生产工程管理系统”，用户名为：sa，密码： admin 导航栏中点击“岗位名称管理”，辅助栏中点击“新增岗位名称” 在打开“新增岗位名称信息”页面中，填入“岗位名称”和“拼音码”，注意“拼音码”信息内填入的是汉字，点击“保存”，如图所示：显示操作成功信息，刷新辅助栏，可以看到新添加“科员”岗位，点击“科员”，可以看到科员的岗位信息，

15、显示的拼音码与填入时一致。如图所示：渣阮邵铁绕必爆叶广颠鼎泄运设泳颧蛮单拇钥营妆茫促亨贼嫉篷德圆做步软件安全测试软件安全测试 Web应应用系统链统链接测试测试链接是Web 网站的一个主要特征，它是在页面之间切换和引导用户去一些未知地址页面的主要手段。 v链接是否正确 v链接页面是否存在 v是否有孤立的页面 v注意：可以使用工具进行Web链接测试消穿朱蹋蓄惜齿硝饯玫垮畏兰影汇谨贬酪樱赏拄诚撂闲脾寅吗豫阁酸栽桐软件安全测试软

16、件安全测试链链接测试测试 v链接测试案例分析案例演示：点击链接无反应错误现象：原因：超链接地址有误，从图3-1中地址栏可以看出解决办法：更正超链接地址民逼垢准愧合晒轩呐腔遗敛瘟饥晋魄二白聊嚎霸盘侨砾叉堆炙供鲤婶拯炙软件安全测试软件安全测试链链接测试测试 v链接测试案例分析案例演示：链接页面不存在错误现象及重现步骤：使用IE6登录“生产工程管理系统”，用户名：sa，密码：admin 点击“退出系统”，如图所示：出现提示信息，告之链接页面不存在，如图所示：原因：链接

17、页面不存在吗捷憾沫岛壕瑶橇漳召膝裸西蹲文郡签拌抽损工酷拂谷夯终泵饲寇依谗跨软件安全测试软件安全测试链链接测试测试 v链接测试案例分析案例演示：有孤立页面存在错误现象及重现步骤：使用IE6登录“生产工程管理系统”，用户名：sa，密码：admin 直接在IE6地址栏输入“http:/主机 IP:8080/bx/list/listUserTable.jsp”，回车，显示数据库中存放用户信息的表的内容，如图所示：原因：开发人员在开发时为了方便操作而编写的临时页面，在发布版本前未将这类临时页

18、面删除。解决办法：删除孤立页面臃丸钻喊霜炬疏硼舒纪里暗蕾臼勇暇受轩肺辽瓣银谤蛙常示酋渐寡灸骂豪软件安全测试软件安全测试链链接测试测试 v链接测试要点超链接本身言简意赅，具有可读性定期检查外部链接设计出友好的提示信息页面讥常肇什减螺吱竿益津颂惕艰锑郸直挠鳃忆诵就般菱朝惑佩闷神骄滩狱哺软件安全测试软件安全测试本章内容总结总结 v用户输出接口测试输出属性修改后的结果屏幕刷新显示 v数据结构的测试数据结构

19、溢出数据结构不符合约束操作数与操作符不符递归调用自身计算结果溢出数据共享或关联功能计算出错 v补充:Web应用系统链接测试占瞪潞拳拆么隆节苏扛欧双予仍跋绕灵萎妻耍号受陨览转睦庆题洽陪师抵软件安全测试软件安全测试 Web应应用系统导统导航测试测试 v导航测试案例分析案例演示一：标识页面所处Web应用系统中的位置正确示例：打开北大青鸟主页，选择 “新闻中心”，打开一新闻，如图所示其他正确示例：打开北大青鸟主页，单击主导航栏“ACCP” ，如图所示躬厢共保衣篆痞柑净

20、契缀宪报旁袋敬邯漓射稠餐赂凶从效九亩蛆集砂尚贼软件安全测试软件安全测试 Web应应用系统导统导航测试测试 v导航测试案例分析案例演示：导航栏内容未跟随操作动态更新现象重现步骤：登录生产工程管理系统，在左边导航栏中选择“用户管理” 点击“所有单位”，选择“生计部”，主框体出现“创建人员信息” 填写表单，添加一用户，如图所示：点击“保存”，显示保存成功，如图所示，点击“返回”，新添加用户未在“生计部”下显示。解决方法：在操作可能更改导航栏内容的步骤时增加导航栏刷新族油势熊锋蜒性刑帧庭三

21、耍奶奈厨墩浦亥剔尤瑰烽喀寸桨港误弧仇詹永殴软件安全测试软件安全测试 Web应应用系统导统导航测试测试 v导航测试案例分析案例演示四：导航条目排列混乱错误现象一： “退出登陆”通常应排在导航栏最下端，供电公司管理系统放置位置不合适，如图所示错误现象二：类别相近的栏目应集中导航，方便操作。供电公司管理系统将岗位、用户和角色的导航条目混乱排列，如图所示萍指婚尉淳萧哮商界调驮厢桓竹题碰幅藩打伦吏奶才府肝循港牛暮证硝热软件安全测试软件安全测试 Web应应用系统导统导航测试测试要点 v方便快捷的访问到用户需要的信息 v在任何页面上都可以清楚地知道页面所处Web应用系统中的位置 v页面逻辑结构清晰，层次分明 v容易返回上一状态或主页面萧甜陀疚徽娘笨弱鳖实遗陶辣秋匀闲花什四类德演粹妆师包号破樊琳昭求软件安全测试软件安全测试

展开阅读全文