性能和安全系统性测试地主要测试内容

(6页)

'性能和安全系统性测试地主要测试内容'
实用性能测试的主要测试内容是什么? 软件测试 基准测试: 比较新的或未知测试对象与已知参照标准(如现有软件或评测标准)的性能。争用测试: 核实测试对象对于多个主角对相同资源(数据记录、内存等)的请求的处理是否可以接受。性能配置: 核实在操作条件保持不变的情况下,测试对象在使用不同配置时其性能行为的可接受性。负载测试(Load Test) -是一种性能测试,指数据在超负荷环境中运行,程序是否能够承担。核实在保持配置不变的情况下,测试对象在不同操作条件(如不同用户数、事务数等)下性能行为的可接受性。强度测试Stress Testing -核实测试对象性能行为在异常或极端条件(如资源减少或用户数过多)之下的可接受性。强度测试在系统资源特别低的情况下软件系统运行情况,目的是找到系统在哪里失效以及如何失效的地方。强度测试包括:Spike testing:短时间的极端负载测试Extreme testing:在过量用户下的负载测试Hammer testing:连续执行所有能做的操作容量测试(Volume Test):确定系统可处理同时在线的最大用户数关注点:how much(而不是how fast)容量测试,通常和数据库有关,容量和负载的区别在于:容量关注的是大容量,而不需要表现实际的使用。安全性测试的内容一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。1.安全体系测试1)部署与基础结构网络是否提供了安全的通信部署拓扑结构是否包括内部的防火墙部署拓扑结构中是否包括远程应用程序服务器基础结构安全性需求的限制是什么目标环境支持怎样的信任级别2)输入验证如何验证输入A.是否清楚入口点B.是否清楚信任边界C.是否验证Web页输入D.是否对传递到组件或Web服务的参数进行验证E.是否验证从数据库中检索的数据F.是否将方法集中起来G.是否依赖客户端的验证H.应用程序是否易受SQL注入攻击I.应用程序是否易受XSS攻击如何处理输入3)身份验证是否区分公共访问和受限访问是否明确服务帐户要求如何验证调用者身份如何验证数据库的身份是否强制试用帐户管理措施4)授权如何向最终用户授权如何在数据库中授权应用程序如何将访问限定于系统级资源5)配置管理是否支持远程管理是否保证配置存储的安全是否隔离管理员特权6)敏感数据是否存储机密信息如何存储敏感数据是否在网络中传递敏感数据是否记录敏感数据7)会话管理如何交换会话标识符是否限制会话生存期如何确保会话存储状态的安全8)加密为何使用特定的算法如何确保加密密钥的安全性9)参数操作是否验证所有的输入参数是否在参数过程中传递敏感数据是否为了安全问题而使用HTTP头数据10)异常管理是否使用结构化的异常处理是否向客户端公开了太多的信息11)审核和日志记录是否明确了要审核的活动是否考虑如何流动原始调用这身份2.应用及传输安全WEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全,安全性测试也可以从这两方面入手。应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患,主要测试区域如下。注册与登陆:现在的Web应用系统基本采用先注册,后登录的方式。A.必须测试有效和无效的用户名和密码B.要注意是否存在大小写敏感,C.可以尝试多少次的限制D.是否可以不登录而直接浏览某个页面等。在线超时:Web应用系统是否有超时的限制,也就是说,用户登陆一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。操作留痕:为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。备份与恢复:为了防范系统的意外崩溃造成的数据丢失,备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对安全性的要求可以采用多种手 段,如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的安全性要求,某些实时系统经常会采用双机热备或多级热备。除了对于这些备份与恢复方式 进行验证测试以外,还要评估这种备份与恢复方式是否满足Web系统的安全性需求。传输级的安全测试是考虑到Web系统的传输的特殊性,重点测试数据经客户端传送到服务器端可能存在的安全漏洞,以及服务器防范非法访问的能力。一般测试项目包括以下几个方面。HTTPS和SSL测试:默认的情况下,安全HTTP(Soure HTTP)通过安全套接字SSL(Source Socket Layer)协议在 端口443上使用普通的HTTP。HTTPS使用的公共密钥的加密长度决定的HTTPS的安全级别,但从某种意义上来说,安全性的保证是以损失性能为代价 的。除了还要测试加密是否正确,检查信息的完整性和确认HTTPS的安全级别外,还要注意在此安全级别下,其性能是否达到要求。服务器端的脚本漏洞检查:存在于服务器端的脚本常常构成安全漏洞,这些漏洞又往往被黑客利用。所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。防火墙测试:防火墙是一种主要用于防护非法访问的路由器,在Web系统中是很常用的一种安全系统。防火墙测试是一个很大很专业的课题。这里所涉及的只是对防火墙功能、设置进行测试,以判断本Web系统的安全需求。另推荐安全性测试工具:Watchfire AppScan:商业网页漏洞扫描器(此工具好像被IBM收购了,所以推荐在第一位)AppScan按照应用程序开发生命周期进行安全测试,早在开发阶段就进行单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨网站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。文档
关 键 词:
性能 安全 系统性 测试 主要 内容
 天天文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:性能和安全系统性测试地主要测试内容
链接地址: https://www.wenku365.com/p-44789006.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给天天文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 https://www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开