性能和安全系统性测试地主要测试内容

1、性能测试的主要测试内容是什么？软件测试基准测试： 比较新的或未知测试对象与已知参照标准（如现有软件或评测标准）的性能。争用测试： 核实测试对象对于多个主角对相同资源（数据记录、内存等）的请求的处理是 否可以接受。性能酉己置： 核实在操作条件保持不变的情况下，测试对象在使用不同酉己置时其性能彳亍为的 可接受性。负载测试（Load Test）-是一种性能测试，指数据在超负荷环境中运彳亍，程序是否能够承 担。核实在保持己己置不变的情况下，测试对象在不同操作条件（如不同用户数、事务数等） 下性能行为的可接受性。强度测试 Stress Testing -核实测试对象性能行为在异常或极端条件（如资源减少或

2、用户 数过多）之下的可接受性。强度测试在系统资源特别低的情况下软件系统运行情况，目的是 找到系统在哪里失效以及如何失效的地方。强度测试包括： Spike testing：短时间的极端负载测试 Extreme testing：在过量用户下的负载测试 Hammer testing：连续执行所有能做的操作容量测试（Volume Test）:确定系统可处理同时在线的最大用户数关注点：how much （而不是how fast）容量测试，通常和数据库有关，容量和负载的区别在于：容量关注的是大容量，而不需要表 现实际的使用。安全性测试的内容一个完整的 WEB 安全性测试可以从部署与基础结构、输入验证、身份

3、验证、授权、己己置管理、敏感数据、会话管理、加密。参数操作、 异常管理、审核和日志记录等几个方面入手。安全体系测试1）部署与基础结构网络是否提供了安全的通信部署拓扑结构是否包括内 部的防火墙部署拓扑结构中是否包括远程应用程序服务器基础结构安全性需求的限制是什么目标环境支持怎样的信任级别2）输入验证如何验证输入是否清楚入口点是否清楚信任边界是否验证Web页输入是否对传递到组件或 Web 服务的参数进彳亍验证是否验证从数据库中检索的数据是否将方法集中起来是否依赖客户端的验证应用程序是否易受SQL 注入攻击应用程序是否易受XSS攻击如 何处理输入3）身份验证是否区分公共访问和受限访问是否明确服务帐户

4、要求如 何验证调用 者身 份如 何验证数 据库的 身 份是否强制试用帐户管理措施4）授权如何向最终用户授权如何在数据库中授权应用程序如何将访问限定于系统级资源5）酉己置管理是否支持远程管理是否保证酉己置存储的安全是否隔离管理员特权6）敏感数据是否存储机密信息如 何存储敏感 数 据是否在网络中传递敏感数据是否记录敏感数据7）会话管理如 何 交 换会话标识符是否限制会话生存期如何确保会话存储状态的安全8）加密为何使用特定的算法如 何确保 加 密密钥 的 安全 性9）参数操作是否验证所有的输入参数是否在参数过程中传递敏感数据是否为了安全问题而使用 HTTP 头数据10）异常管理是否使用结构化的异常处

5、理是否向客户端公开了太多的信息11）审核和日志记录是否明确了要审核的活动是否考虑如何流动原始调用这身份应用及传输安全WEB 应用系统的安全性从使用角度可以分为应用级的安全与传输级 的安全，安全性测试也可以从这两方面入手。应用级的安全测试的主要目的是查找 Web 系统自身程序设计中存在 的安全隐患，主要测试区域如下。注册与登陆：现在的 Web 应用系统基本采用先注册，后登录的方式。必须测试有效和无效的用户名和密码要注意是否存在大小写敏感，可以尝试多少次的限制是否可以不登录而直接浏览某个页面等。在线超时：Web 应用系统是否有超时的限制，也就是说，用户登陆 一定时间内（例如15分钟）没有点击任何页

6、面，是否需要重新登 陆才能正常使用。操作留痕：为了保证 Web 应用系统的安全性，日志文件是至关重要 的。需要测试相关信息是否写进入了日 志文件，是否可追踪。备份与恢复：为了防范系统的意外崩溃造成的数据丢失，备份与恢 复手段是一个 Web 系统的必备功能。备份与恢复根据 Web 系统对安 全性的要求可以采用多种手段，如数据库增量备份、数据库完全 备份、系统完全备份等。出于更高的安全性要求，某些实时系统经 常会采用双机热备或多级热备。除了对于这些备份与恢复方式进 彳亍验证测试以外，还要评估这种备份与恢复方式是否满足Web系统 的安全性需求。传输级的安全测试是考虑到Web系统的传输的特殊性，重点测

7、试数 据经客户端传送到服务器端可能存在的安全漏洞，以及服务器防范 非法访问的能力。一般测试项目包括以下几个方面。HTTPS 和SSL测试：默认的 情况下，安全HTTP ( Soure HTTP )通过 安全套接字SSL ( Source Socket Layer ) 协议在 端口 443 上使用 普通的HTTP。HTTPS 使用的公共密钥的加密长度决定的HTTPS 的安 全级别，但从某种意义上来说，安全性的保证是以损失性能为代价 的。除了还要测试加密是否正确，检查信息的完整性和确认HTTPS 的安全级别外，还要注意在此安全级别下，其性能是否达到要求。服务器端的脚本漏洞检查：存在于服务器端的脚本常常构成安全漏 洞，这些漏洞又往往被黑客利用。所以，还要测试没有经过授权， 就不能在服务器端放置和编辑脚本的问题。防火墙测试：防火墙是一种主要用于防护非法访问的路由器，在 Web 系统中是很常用的一种安全系统。防火墙测试是一个很大很专业的 课题。这里所涉及的只是对防火墙功能、设置进彳亍测试，以判断本 Web系统的安全需求。另推荐安全性测试工具：Watchfire AppScan : 商业网页漏洞扫描器(此工具好像被IBM 收购 了，所以推