




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、安全性测试用例1、WEB系统安全性说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test CaseOOl客户端验证,服务器端验证(禁用脚本调试,禁用 Cookies)Summary:检验系统权限设置的有效性Steps1、输入很大的数(如4,294,967,269),输入很小的数(负数)。2、 输入超长字符,如对输入文字长度有限制, 则尝试超过限制,刚好到达限制字数时有何 反应。3、输入特殊字符如:!#$%人&*()_+<>:” |4、输入中英文空格,输入字符串中间含空格, 输入首尾空格5、输入特殊字符串 NULL,null , O
2、xOd 0x0a6、输入正常字符串7、 输入与要求不冋类型的字符,如:要求输 入数字则检查正值,负值,零值(正零,负零), 小数,字母,空值;要求输入字母则检查输入 数字8、输入 html 和 javascript 代码9、某些需登录后或特殊用户才能进入的页 面,是否可以通过直接输入网址的方式进入;10、对于带参数的网址,恶意修改其参数,(若 为数字,则输入字母,或很大的数字,或输入特 殊字符等)后打开网址是否出错,是否可以非 法进入某些页面;Expected Results1、输入的验证码错误。2、输入的验址码过长。3、输入的验证码错误。4、输入的验证码错误。5、输入的验证码错误。6、输入的
3、验证码正确,成功登陆系统。7、输入的验证码错误。&输入的验证码错误。9、系统权限设置是有效的。场景法Pass/Fail:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case002 关于 URLSummary:检验系统防范非法入侵的能力Steps1、某些需登录后或特殊用户才能进入的页 面,是否可以通过直接输入网址的方式进入;Expected Results1、不可以直接通过直接输入网址的方 式进入。2、对于带参数的网址,恶意修改其参数,(若2、对于带参数的网址,恶意修改其参数,(若为数字,则输入字母
4、,或很大的数字,或输入特为数字,则输入字母,或很大的数字,或输殊字符等)后打开网址是否出错,是否可以非入特殊字符等)后打开网址出错,不可以法进入页面;非法进入页面。3、搜索页面等 url中含有关键字的,输入3、输入html代码或JavaScript看是不会html代码或JavaScript看是否在页面中显在页面中显示或执行。示或执行。4、正常进入页面。4、输入善意字符。5、系统防范非法入侵的能力强。场景法Pass/Fail:Test NotesAuthor:说明:执行每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case003日志记录的完整性Summ
5、ary:检验系统运行的时候是否会记录完整的日志StepsExpected Results1、进行详单查询,检测系统是否会记录1、系统会记录相应的操作员。相应的操作员。2、系统会记录相应的操作时间。2、进行详单查询,检测系统是否会记录3、系统会记录相应的系统的状态。相应的操作时间。4、系统会记录相应的操作事项。3、进行详单查询,检测系统是否会记录5、系统会记录相应的IP地址。相应的系统的状态。6、系统运行的时候会记录完整的日志4、进行详单查询,检测系统是否会记录相应的操作事项。5、进行详单查询,检测系统是否会记录相应的IP地址等。场景法Pass/Fail:Test NotesAuthor:说明:
6、执行每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case004软件安全性测试涉及的方面Summary:检验系统的数据备份StepsExpected Results1、是否设置密码最小长度1、是。2、用户名和密码是否可以有空格和回车?2、不可以3、是否允许密码和用户名一致3、否4、防恶意注册:可含用自动填表工具自动注4、不可以册用户?5、是5、遗忘密码处理6、无6、有无缺省的超级用户?7、无7、有无超级密码?8、密码错误有无限制?9、密码复杂性(如规定字符应混有大、小写 字母、数字和特殊字符)8、有9、有场景法Pass/Fail:Test Notes
7、Author:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case005没有被验证的输入Summary:检验输入验证Steps1、数据类型(字符串,整型,实数,等)2、允许的字符集3、取小和取大的长度4、是否允许空输入5、参数是否是必须的6、重复是否允许7、数值范围8、特定的值(枚举型)9、特定的模式(正则表达式)Expected Results 对上述输入有控制场景法Pass/Fail:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case006访问
8、控制Summary:检验访问控制Steps1、用于需要验证用户身份以及权限的页面, 复制该页面的url地址,关闭该页面以后,查 看是否可以直接进入该复制好的地址 例:从一个页面链到另一个页面的间隙可以 看到URL地址,直接输入该地址,可以看到 自己没有权限的页面信息Expected Results1、不能进入场景法Pass/Fail:Test NotesAuthor:说明:执行每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case007输入框验证Summary: 验证输入框是否经验证Steps对Grid、Label、Tree view类的输入框未作验
9、 证,输入的内容会按照html语法解析出来Expected Results 对上述输入有控制场景法Pass/Fail:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case008关键数据加密Summary:是否对关键数据进仃加密Steps1、登录界面密码输入框中输入密码,页面显示的是*,右键,查看源文件是否可以看见刚才输入的密码Expected Results1、不能看到场景法Pass/Fail:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results
10、得出测试结论Test Case009认证请求方式Summary :检验认证请求方式Steps1、认证和会话数据是否使用POST方式,而非GET方式Expected Results 1、采用POST方式场景法Pass/Fai :Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case010 SQL 注入Summary:检验是否存在SQL注入Steps1、Expected Results1、无效场景法Pass/Fai :Test NotesAuthor :说明:执行每一步Steps时,请参照对应编号的Expect
11、ed Results得出测试结论Test CaseOII文件上传风险Summary:Steps Expected Results1、1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case012功能失效、异常带来的安全风险Summary:Steps1、Expected Results1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case013操作日志检杳Sum
12、mary:Steps1、Expected Results1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case014登录次数限制Summary:Steps1、Expected Results1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case015 IE 回退按钮Summary:Steps1、退出系统后,点击IE回退按钮,能否重 新回到系统中Expecte
13、d Results1、无效场景法Pass/Fai :Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case016通信保密性Summary:Steps1、测试主要应用系统, 查看当通信双方中的 一方在一段时间内未作任何响应,另一方是 否能自动结束会话;系统是否能在通信双方 建立会话之前,利用密码技术进行会话初始 化验证(如SSL建立加密通道前是否利用密 码技术进行会话初始验证);在通信过程中, 是否对整个报文或会话过程进行加密;2、测试主要应用系统, 通过通信双方中的一 方在一段时间内未作任何响应,查看另一方
14、 是否能自动结束会话,测试当通信双方中的 一方在一段时间内未作任何响应,另一方是否能自动结束会话的功能是否有效;3、测试主要应用系统, 通过查看通信双方数 据包的内容,查看系统在通信过程中,对整 个报文或会话过程进行加密的功能是否有效。Expected Results1、场景法Pass/Fail:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case017通信保密性Summary:Steps1、a)应限制单个用户的多重并发会话;b)应对应用系统的最大并发会话连接数进 行限制;c)应对一个时间段内可能的并发会
15、话连接 数进行限制;d)应根据安全策略设置登录终端的操作超 时锁定和鉴别失败锁定,并规定解锁或终止 方式;e)应禁止冋一用户账号在冋一时间内并发 登录;f)应对一个访问用户或一个请求进程占用 的资源分配最大限额和最小限额;g)应根据安全属性(用户身份、访问地址、 时间范围等)允许或拒绝用户建立会话连接;h)当系统的服务水平降低到预先规定的最Expected Results1、小值时,应能检测和报警;i)应根据安全策略设定主体的服务优先级, 根据优先级分配系统资源,保证优先级低的 主体处理能力不会影响到优先级高的主体的 处理能力。场景法Pass/Fail:Test NotesAuthor:说明:
16、执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case018数据备份和恢复Summary:Steps1、a)应提供自动备份机制对重要信息进行 本地和异地备份;b)应提供恢复重要信息的功能;c)应提供重要网络设备、通信线路和服务器 的硬件冗余;d)应提供重要业务系统的本地系统级热备 份。Expected Results1、场景法Pass/Fai:Test NotesAuthor:2、服务器安全性说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case001Summary:操作系统账户Steps1、
17、Expected Results1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case002文件分区格式Summary:Steps1、Expected Results1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps时,请参照对应编号的Expected Results得出测试结论Test Case003中间件密码Summary:Steps1、Expected Results1、无效场景法Pass/Fai:Test NotesAuthor:说明:执仃每一步Steps
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025-2030中国细菌检测行业发展分析及发展前景与趋势预测研究报告
- 2025-2030中国红薯食品行业发展分析及发展趋势预测与投资风险研究报告
- 延安古建修缮施工方案
- 佛山看台座椅施工方案
- 项目追踪训练方案范本
- 销售公司规划方案范本
- 智能制造设备采购流程及行业趋势分析
- 航空业产品召回流程的风险管理
- 科技企业年度股东大会会议程序流程
- 旅游行业疫情防控工作方案
- 企业档案信息化建设思考
- 肠梗阻病人护理查房课件中医
- 2022年体育单招考数学试题(精校解析版)
- 成语小故事胸有成竹
- JC474-2008 砂浆、混凝土防水剂
- 廉洁谈话一问一答简短六篇
- 能源管理员岗位责任制(4篇)
- 校服采购投标方案(技术标)
- 儿童压力性损伤评估量表与预防措施
- 垃圾清运处理方案书及报价
- 《仪器分析》完整全套教学课件(共17章)
评论
0/150
提交评论