西安軟件測試在哪學(xué)���,軟件測試應(yīng)注意哪些原則呢
軟件開發(fā)是一門有一定高度的職業(yè),自然就業(yè)肯定也是門檻也是比較高�,高新也不是問題,因此是更多年輕人向往的職業(yè)��,當(dāng)然每開發(fā)一個(gè)軟件都是要不斷的研發(fā)測試�。最終成功上線的,所以可以說軟件測試的軟件開發(fā)的基礎(chǔ)和鋪墊�����,那么軟件測試有什么技巧����,測試有什么原則呢?下面西安軟件開發(fā)?培訓(xùn)學(xué)校就給大家具體講述�����,讓我們輕松安全的進(jìn)行軟件測試�����。
一��、軟件安全測試基礎(chǔ)知識(shí)有哪些
軟件安全性測試包括程序、網(wǎng)絡(luò)�����、數(shù)據(jù)庫安全性測試�。根據(jù)系統(tǒng)安全指標(biāo)不同測試策略也不同。
1.用戶程序安全的測試要考慮問題包括:
① 明確區(qū)分系統(tǒng)中不同用戶權(quán)限;
② 系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突;
③ 系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y;
④ 用戶登陸密碼是否是可見�、可復(fù)制;
⑤ 是否可以通過絕對(duì)途徑登陸系統(tǒng)(拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng));
⑥ 用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記����,是否可以使用后退鍵而不通過輸入口令進(jìn)入系統(tǒng)。
2.系統(tǒng)網(wǎng)絡(luò)安全的測試要考慮問題包括:
① 測試采取的防護(hù)措施是否正確裝配好��,有關(guān)系統(tǒng)的補(bǔ)丁是否打上;
② 模擬非授權(quán)攻擊�����,看防護(hù)系統(tǒng)是否堅(jiān)固;
③ 采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞;
④ 采用各種木馬檢查工具檢查系統(tǒng)木馬情況;
⑤ 采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞����。
3.數(shù)據(jù)庫安全考慮問題:
① 系統(tǒng)數(shù)據(jù)是否機(jī)密(比如對(duì)銀行系統(tǒng),這一點(diǎn)就特別重要���,一般的網(wǎng)站就沒有太高要求);
② 系統(tǒng)數(shù)據(jù)的完整性;
③ 系統(tǒng)數(shù)據(jù)可管理性;
④ 系統(tǒng)數(shù)據(jù)的獨(dú)立性;
⑤ 系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力(數(shù)據(jù)備份是否完整���,可否恢復(fù)��,恢復(fù)是否可以完整��。
二���、軟件安全測試應(yīng)注意哪些問題�?
1.如何保護(hù)薄弱環(huán)節(jié)
攻擊者往往設(shè)法攻擊最易攻擊的環(huán)節(jié)����,這對(duì)于您來說可能并不奇怪。即便他們?cè)谀到y(tǒng)各部分上花費(fèi)相同的精力��,他們也更可能在系統(tǒng)最需要改進(jìn)的部分中發(fā)現(xiàn)問題�。這一直覺是廣泛適用的��,因此我們的安全性測試應(yīng)側(cè)重于測試最薄弱的部分���。
如果執(zhí)行一個(gè)好的風(fēng)險(xiǎn)分析��,進(jìn)行一次最薄弱環(huán)節(jié)的安全測試�,標(biāo)識(shí)出您覺得是系統(tǒng)最薄弱的組件應(yīng)該非常容易,消除最嚴(yán)重的風(fēng)險(xiǎn)���,是軟件安全測試的重要環(huán)節(jié)�����。
2. 軟件測試人員應(yīng)具備縱深防御
縱深防御背后的思想是:使用多重防御策略來測試軟件���,以至少有一層防御將會(huì)阻止完全的黑客破壞?���!氨Wo(hù)最薄弱環(huán)節(jié)”的原則適用于組件具有不重疊的安全性功能。當(dāng)涉及到冗余的安全性措施時(shí)��,所提供的整體保護(hù)比任意單個(gè)組件提供的保護(hù)要強(qiáng)得多�,縱深防御能力的測試是軟件安全測試應(yīng)遵循的原則。
3. 應(yīng)及時(shí)保護(hù)故障
大量的例子出現(xiàn)在數(shù)字世界���。經(jīng)常因?yàn)樾枰С植话踩呐f版軟件而出現(xiàn)問題�����。例如��,比方說��,該軟件的原始版本十分“天真”���,完全沒有使用加密。現(xiàn)在該軟件想修正這一問題���,但已建立了廣大的用戶基礎(chǔ)。此外���,該軟件已部署了許多或許在長時(shí)間內(nèi)都不會(huì)升級(jí)的服務(wù)器���。更新更聰明的客戶機(jī)和服務(wù)器需要同未使用新協(xié)議更新的較舊的客戶機(jī)進(jìn)行互操作。該軟件希望強(qiáng)迫老用戶升級(jí)���,沒有指望老用戶會(huì)占用戶基礎(chǔ)中如此大的一部分��,以致于無論如何這將真的很麻煩���。怎么辦呢?讓客戶機(jī)和服務(wù)器檢查它從對(duì)方收到的條消息,然后從中確定發(fā)生了什么事情���。如果我們?cè)谕欢闻f的軟件“交談”����,那么我們就不執(zhí)行加密��。
4. 訪問時(shí)間保持最小權(quán)力
最小特權(quán)原則規(guī)定:確定只授予執(zhí)行操作所必需的最少訪問權(quán)���,并且對(duì)于該訪問權(quán)只準(zhǔn)許使用所需的最少時(shí)間。
當(dāng)軟件給出了某些部分的訪問權(quán)時(shí)���,一般會(huì)出現(xiàn)濫用與那個(gè)訪問權(quán)相關(guān)的特權(quán)的風(fēng)險(xiǎn)����。例如�����,我們假設(shè)您出去度假并把您家的鑰匙給了您的朋友�����,好讓他來喂養(yǎng)您的寵物��、收集郵件等等��。盡管您可能信任那位朋友���,但總是存在這樣的可能:您的朋友未經(jīng)您同意就在您的房子里開派對(duì)或發(fā)生其它您不喜歡的事情。
5. 如何達(dá)到適度使用分隔
分隔背后的基本思想是如果我們將系統(tǒng)分成盡可能多的獨(dú)立單元�����,那么我們可以將對(duì)系統(tǒng)可能造成損害的量降到最低�����。通常�����,如果攻擊者利用了代碼中的緩沖區(qū)溢出���,對(duì)磁盤進(jìn)行原始寫并胡亂修改內(nèi)核所在內(nèi)存中的任何數(shù)據(jù)��。沒有保護(hù)機(jī)制能阻止他這樣做�。因此���,系統(tǒng)進(jìn)行適度的分隔顯得十分重要�,軟件要能直接支持本地磁盤上永遠(yuǎn)不能被擦去的日志文件�,這意味著直到攻擊者闖入時(shí),才不能保持精確的審計(jì)信息�����。適度使用的分隔�����,將利于系統(tǒng)的管理,但是對(duì)每一個(gè)功能都進(jìn)行分隔�,那么系統(tǒng)將很難管理。
三����、檢查安全隱患,排除非法入侵是軟件測試的關(guān)鍵
根據(jù)安全指標(biāo)不同測試策略也不同,如果遵循相同的原則��,去證明軟件的安全性����,將有利于軟件安全測試的工作規(guī)范的進(jìn)行,有利于軟件安全測試工作的發(fā)展����。安全測試檢查系統(tǒng)對(duì)非法侵入的防范能力。安全測試期間�,測試人員假扮非法入侵者,采用各種辦法試圖突破防線�。例如,①想方設(shè)法截取或破譯口令;②專門定做軟件破壞系統(tǒng)的保護(hù)機(jī)制;③故意導(dǎo)致系統(tǒng)失敗��,企圖趁恢復(fù)之機(jī)非法進(jìn)入;④試圖通過瀏覽非保密數(shù)據(jù)�����,推導(dǎo)所需信息�,等等�����。理論上講,只要有足夠的時(shí)間和資源���,沒有不可進(jìn)入的系統(tǒng)。因此系統(tǒng)安全設(shè)計(jì)的準(zhǔn)則是���,使非法侵入的代價(jià)超過被保護(hù)信息的價(jià)值����。此時(shí)非法侵入者已無利可圖��。
軟件測試是軟件開發(fā)的根本���,是軟件測試的基礎(chǔ),因此軟件測試也是軟件開發(fā)企業(yè)的核心技術(shù)����,所以無論你是公司的程序員,公司的測試員�,還是軟件工程師掌握測試的基本原則的非常有必要的����,西安軟件開?發(fā)培訓(xùn)學(xué)校專業(yè)培訓(xùn)軟件測試����,軟件開發(fā)����,技術(shù)先進(jìn),師資雄厚�����,歡迎來電:
滬ICP備18048269號(hào)-1 
電子營業(yè)執(zhí)照
教育
全國教育網(wǎng)站
企業(yè)信用等級(jí)AA級(jí)