軟件安全性測試主要包括程序、數(shù)據(jù)庫安全性測試。根據(jù)系統(tǒng)安全指標(biāo)不同測試策略也不同。

用戶身份認(rèn)證安全的測試要考慮問題：
1.明確區(qū)分系統(tǒng)中不同用戶權(quán)限
2.系統(tǒng)中會不會出現(xiàn)用戶沖突
3.系統(tǒng)會不會因用戶的權(quán)限的改變造成混亂
4.用戶登陸密碼是否是可見、可復(fù)制
5.系統(tǒng)的密碼策略，通常涉及到隱私，錢財或機(jī)密性的系統(tǒng)必須設(shè)置高可用的密碼策略。
5.是否可以通過絕對途徑登陸系統(tǒng)（拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng)）
6.用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過輸入口令進(jìn)入系統(tǒng)

系統(tǒng)網(wǎng)絡(luò)安全的測試要考慮問題：
1.測試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上
2.模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅固
3.采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞（即用最專業(yè)的黑客攻擊工具攻擊試一下，現(xiàn)在最常用的是 NBSI系列和 IPhacker IP ）
4.采用各種木馬檢查工具檢查系統(tǒng)木馬情況
5.采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞

數(shù)據(jù)庫安全考慮問題：
1.系統(tǒng)數(shù)據(jù)是否機(jī)密（比如對銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒有太高要求）
2.系統(tǒng)數(shù)據(jù)的完整性（我剛剛結(jié)束的企業(yè)實(shí)名核查服務(wù)系統(tǒng)中就曾存在數(shù)據(jù)的不完整，對于這個系統(tǒng)的功能實(shí)現(xiàn)有了障礙）
3.系統(tǒng)數(shù)據(jù)可管理性
4.系統(tǒng)數(shù)據(jù)的獨(dú)立性
5.系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力（數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整）

瀏覽器安全
同源策略：不同源的“document”或腳本，不能讀取或者設(shè)置當(dāng)前的“document”
同源定義：host（域名，或者IP），port（端口號），protocol（協(xié)議）三者一致才屬于同源。
要注意的是，同源策略只是一種策略，而非實(shí)現(xiàn)。這個策略被用于一些特定的點(diǎn)來保護(hù)web的安全。

★
★
★javascript:alert(/xss/)
★javascript:alert(/xss/)
★ 
★ 
★
★=’> 
★1.jpg" onmouseover="alert('xss')
★">
★http://xxx';alert('xss');var/ a='a
★’”>xss&<
★"onmouseover=alert('hello');"
★&{alert('hello');}
  ★>"'>
  ★>%22%27>
★>"'> %26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>
  ★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22
  ★%22%2Balert(%27XSS%27)%2B%22
  ★

  ★
  ★
  ★a?
★

廣州賽度檢測服務(wù)有限公司

曾先生

• [聯(lián)系時請說明來自 檢測通]

• 在線客服:
• 
• 留言咨詢

• 聯(lián)系方式：

• 請點(diǎn)擊查看電話

• 郵件：
• 發(fā)送郵件

• 地址：
• 嘉東廣場A5棟1503

推薦服務(wù)

• 信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS
• 信息系統(tǒng)建設(shè)和服務(wù)能力評估CS
• 廣西壯族自治區(qū)軟件服務(wù)商交付
• 科技成果評價 市科技成果登記
• 信息系統(tǒng)建設(shè)和服務(wù)能力評估CS
• 上海市軟件服務(wù)商交付能力評估
• 軟件過程及能力成熟度評估CMMI
• 西藏自治區(qū)軟件服務(wù)商交付能力
• 軟件服務(wù)商交付能力評估SDCA
• 技術(shù)合同登記 廣東省技術(shù)合同
• 信息系統(tǒng)建設(shè)和服務(wù)能力評估CS
• 四川省軟件服務(wù)商交付能力評估
• 信息系統(tǒng)建設(shè)和服務(wù)能力評估CS
• 信息系統(tǒng)建設(shè)和服務(wù)能力評估CS
• 省外單位安全技術(shù)防范系統(tǒng)設(shè)計