- 发布
- 湖南卓码软件测评有限公司
- 电话
- 400-607-0568
- 手机
- 19176688044
- 发布时间
- 2023-11-23 17:27:46
一个完整的软件安全测试,应当包括以下步骤:
1、部署与基础结构
部署有没有包括内部防火墙,网络是否安全,目标环境支持怎样的信任级别,基础结构安全性需求的限制是什么。
2、输入验证
如何验证输入,是否验证Web页输入,是否对传递到组件或Web服务的参数进行验证,是否验证从数据库中检索的数据,是否依赖客户端的验证,应用程序是否易受SQL注入攻击,应用程序是否易受XSS攻击,如何处理输入。
3、身份验证
是否区分受限访问和公共访问,如何验证数据库身份。
4、授权
如何在数据库中授权应用程序,如何向最终用户授权,如何将访问限定于系统级资源。
5、配置管理
是否保证配置存储的安全
6、敏感数据
是否存储**信息,如何存储敏感数据,是否在网络中传递敏感数据,是否记录敏感数据。
7、会话管理
是否限制会话生存期,如何确保会话存储状态的安全。
8、加密
如何确保加密密钥的安全性。
9、参数操作
是否在参数过程中传递敏感数据,是否验证所有的输入参数,是否为了安全问题而使用HTTP头数据。
10、异常管理
是否使用结构化的异常处理,是否向客户端公开了太多的信息。
感兴趣的朋友可以咨询卓码软件测评这家多年专注软件测试的第三方测评公司,获得CMA、CNAS资质认证,各类安全测试、性能测试、功能测试、兼容性测试、验收测试等软件测试项目全国都可进行,线上线下都可测试,出具的软件测试报告具备法律效力,值得信赖。