第一篇:安全测试心得体会
安全测试心得体会
软件测试班11级
111307483
张林香
摘要:安全测试是在产品的生命周期中,产品开发基本完成到发布的时候,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,主要是为了提高产品的安全质量,尽量在发布前找到安全问题并给与修补,以降低开发成本,也避免在上线后带来了缺陷。关键字:安全测试方法 安全测试工具 WEB应用 测试策略 安全测试方法: 1.功能验证
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。2.漏洞扫描
安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使 用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从
而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。3.模拟攻击 对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的安全防护能力。测试策略:
软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。
用户认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突
3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制
5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统)
6.用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统 系统网络安全的测试要考虑问题
1.测试采取的防护措施是否正确装配好,有关系统的补丁是否打上
2.模拟非授权攻击,看防护系统是否坚固
3.采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是 NBSI系列和 IPhacker IP)
4.采用各种木马检查工具检查系统木马情况 5.采用各种防外挂工具检查系统各组程序的客外挂漏洞 数据库安全考虑问题:
1.系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求)
2.系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整,对于这个系统的功能实现有了障碍)3.系统数据可管理性 4.系统数据的独立性
5.系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)安全测试工具:
WEB性能测试工具主要分为三种,一种是测试页面资源加载速度的,一种是测试页面加载完毕后页面呈现、JS操作速度的,还有一种是总体上对页面进行评价分析。Firebug:
Firebug 是firefox中最为经典的开发工具,可以监控请求头,响应头,显示资源加载瀑布图。HttpWatch :
httpwatch 功能类似firebug,可以监控请求头,响应头,显示资源加载瀑布图。但是httpwatch还能显示GZIP压缩信息,DNS查询,TCP链接信息,个人在监控http请求比较喜欢使用httpwatch,httpwatch包含IE和firefox插件。不过httpwatch专业版本是收费的,免费版本有些功能限制。DynaTrace’s Ajax Edition:
dynaTrace 是本人常使用的1个免费工具,该工具不但可以检测资源加载瀑布图,而且还能监控页面呈现时间,CPU花销,JS分析和执行时间,CSS解析时间的等。Speed Tracer:
speed trace 是google chrome的1个插件,speed trace的优势点是用于监控JS的解析执行时间,还可以监控页面的重绘、回流,这个还是很强的(dynaTrace也能有这个功能)。Page Speed : Page speed 是基于firebug的1个工具,主要可以对页面进行评分,总分100分,而且会显示对各项的改进意见,Page Speed也能检测到JS的解析时间。
yslow : yslow跟pge speed一样是基于 firefoxfirebug的插件,功能与page speed类似,对各种影响网站性能的因素进行评分。webpagetest :
webpagetest 是1个在线进行性能测试的网站,在该网站输入你的url,就会生成1个url加载的时间瀑布图,对所有加载的资源(css,js,image等等)列出优化的清单,也是非常好用的工具。
安全性测试应包括下面的工作: a.全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的反应;
b.对软件设计中用于提高安全性的结构、算法、容错、冗余、中断处理等方案,进行针对性测试;
c.在异常条件下测试软件,以表明不会因可能的单个或多个输入错误而导致不安全状态。
d.用错误的安全性关键操作进行测试,以验证系统对这些操作错误的反应;
e.对安全性关键的软件单元和软件部件,要单独进行加强的测试,以确认其满足安全性需求。
WEB应用:
web服务的质量严重影响数据传输的安全性。所以针对该问题,我们着重讲解怎样测试web服务的安全性。下面是我们对安全性测试的整理。
一般情况下我们测试系统是否安全,主要是根据他的抗打击能力。所以现在介绍的测试方法都是针对他的安全区进行攻击,以检测是否安全。
鉴于web服务是一个通过URL识别的软件应用程序,它的界面使用XML文档定义描述和发现,使用基于Internet协议上的消息传递方式与其他应用程序直接交互。所以在实际应用中很大程度上对web服务的质量有很高的要求。一旦web服务存在质量问题,将可能给使用者造成不可估量的损失与危害,因此需要对web服务的质量进行评估。
第一种:web服务接口探查(1)WSDL扫描
主要是扫描WSDL文件,列出一些克可调用的方法,然后根据已知的方法推测出未列出的方法。(2)参数篡改
根据服务调用可接受的参数类型,故意发送非期望的数据类型尝试攻击服务。
第二种:攻击XML解析器
(1)递归负载:
XML消息可以进行递归实体扩展,恶意构造包含大量递归嵌套元素的消息,以消耗服务器资源或使解析器崩溃造成拒绝攻击服务。
(2)特大负载
XML解析器对于非常大的XML消息常常会处理出错。这种测试就是有意构造特大的SOAP消息,试图使解析器耗尽内存及CPU资源,造成拒绝服务。(3)强制解析
构造畸形的XML消息,试图使目标服务降级或不可用。例如,可以构造包含非常长的元素名称、非常多的标记或标记不匹配的消息。
第三种:基于内容的攻击(1)恶意SOAP附件
Web服务常常对SOAP附件缺乏验证,造成恶意代码嵌入附件中传播。例如许多病毒蠕虫等就是通过SOAP附件传播。这种测试就是构造这种恶意的SOAP消息发送到web服务上。(2)注入式攻击
注入式攻击包括SQL注入、XPATH注入、LDAP注入、XML注入、命令注入等。SOAP消息携带了服务调用需要的参数,这些参数可能执行SQL查询或XPATH查询语句的一部分。恶意构造的用户输入可能绕过数据库认证儿执行未授权的查询活着恶意篡改数据库、执行系统命令等。(3)跨站脚本
跨站脚本在web应用中常出现的漏洞。跨站脚本的漏洞常出现在CDATA中,因为这部分内容不被解析。第四种:外部引用攻击(1)外部实体攻击
XML消息可以引用外部实体,但是若web服务对外部实体引用缺乏验证,可利用恶意外部实体嵌入恶意数据或系统命令攻击Web服务。(2)模式中毒 模式中毒是通过操纵或修改XML模式文件,改变web服务所接受消息的格式和语义,是wen服务接受不期望的数据类型。(3)路由劫持
路由劫持攻击是在SOAP头部修改或添加恶意路由目标,重定向SOAP消息到恶意接受者,然后接受者去除额外路由指令并转发SOAP消息,合法接受者无法察觉消息被篡改,造成敏感信息泄露。(网银等尤其注意)(4)不适当错误处理
Web服务往往在返回错误消息的时候提供过于详细的信息,而这有助于攻击者发现应用程序结构等敏感信息。因此执行这类测试局势强制web服务返回错误消息,观察错误消息的内容,分析是否寻在不适当的错误处理。应用程序的安全性:
包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时,确定有不同权限的用户类型,创建各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。应用程序的安全性问题: 功能验证
1.有效的密码是否接受,无效的密码是否拒绝。2.系统对于无效用户或密码登陆是否有提示。3.用户是否会自动超时退出,超时的时间是否合理。4.各级用户权限划分是否合理。模拟攻击
1.系统是否允许极端或不正常的登陆方式访问。(如
不通过登入页面,直接输入URL,看其是否能够
进入)
数据库安全(sql server)
1、关闭服务器端的tcp/ip协议服务。
2、数据库用户登录方式选择sql server身份认证。
3、设置用户访问指定的数据库。
4、设置用户对数据库中的对象有指定的操作权限。
5、查看数据是否有定期自动备份的操作。
6、日志文件和数据文件存放的位置 总结:
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,提高了产品的安全质量。在以后的工作中是必不可少的,所以要尽量多运用,尽可能的熟练掌握。
第二篇:安全测试
创建“平安校园”安全知识测试题
班级:姓名:得分:
一、选择:(请在正确的答案填在括号里)
1、要遵守交通法规,()a、过马路要走人行横道,不乱穿马路,b、过马路时如果没有车辆,行人不多,可以不走人行横道。
2、当你独自在家有陌生人敲门时,最好的做法是什么?()A、始终不开门 B、觉得对方的理由充分就开门 C、把门打开问他有什么事
3、如果在校外有人向你勒索金钱,事后你最应该做什么?()A、不能让任何人知道这件事,免得报复 B、以后每天带点钱,免得没钱挨打 C、尽快告诉爸爸妈妈或老师
4、在路上,很多小学生都带着黄颜色的帽子,这样做的原因是什么?()A、黄色的帽子好看 B、是校服、必须戴
C、醒目,更容易被司机发现
5、发生煤气泄漏时,下面哪些措施是不正确的?()A、马上关掉煤气开关,不动任何电器开关
B、打开排气扇通风
C、打开门窗,让中毒者呼吸新鲜空气
6、小明的脚被蛇咬伤后,下面的哪个做法是正确的?()A、赶快用布条或绳子系住小腿下端
B、边跑边喊“救命” C、用水冲伤口
二、判断:如果你认为正确请在()里划√,不正确划×:
7、吸烟有害,学校、家长都应该教育中小学生不吸烟,不酗酒。所有商店都不应该卖烟给未成年人。()
8、壮壮是个学习成绩很优秀的孩子。每天放学回家就呆在自己的房间学习。妈妈下班回来急急忙忙做好饭,她才出来吃饭。饭后边看电视边吃奶奶给洗好的水果,然后又回到自己的房间去了。()
9、经过一个有信号灯的铁路道口时,应该看看左右没火车就快速走过去。()
10、小学生排路队戴“小黄帽”是为了好看。()
11、小学生不应直接参与扑救火灾。()
12、电扇运转中发出焦味或冒黑烟,可正常使用。()
13、腐败变质的食品一定不能食用。()
14、校门口的流动摊点加工的食品都是现做现卖,因此很安全。()
15、如果饮食卫生没搞好,很容易传染上甲型肝炎。()
第三篇:测试心得体会
经过几周的测试工作,对测试工作已经有所了解。现结合之前的测试工作情况和刚刚发布的网站测试方法,对测试工作进行回顾总结以及对之后的测试工作进行规划。
一.测试流程
刚接触测试工作时由于对工作和车连我平台的不熟悉,工作情况仅限于对平台的了解以及汇报了解过程中所发现的比较明显的错误。之后的时间里虽然也慢慢发现平台内部功能的错误,但测试流程太过于杂乱无章。现对测试流程根据平台模块功能进行划分,并对照网站测试方法的测试执行标准执行,形成周期性的测试。1.会员注册
定期进行新会员注册测试,查看是否可以进行正常注册是否有错误注册行为即用户名是否会重复、注册资料是否有正确记录、注册时开通的功能是否能正确使用如邮箱绑定,手机绑定、注册提示是否有误等。2.会员资料管理
查看会员资料是否有正确显示、是否能正常修改。查看开通的功能能否正常使用。3.页面浏览
查看页面浏览过程中是否出现错误或者警告提示,查看页面上是否存在有非法或者无效的链接,查看页面上是否存在无效的图片或者非法的字符。4.导航系统
查看页面的导航功能是否正常,搜导向的页面是否正确无误,是否有无效的导航键,是否有缺失或者多余的导航键,搜索功能能否正常工作,产品筛选过滤功能能否正常运行。5.商品查看
查看是否有重复多余的商品,商品的归类是否正确,商品的价格、图片、说明是否正确,查看是否有无效的商品上架、有关于商品的功能例如商品的收藏、购买记录查看等功能能否正常使用。6.支付系统
交易记录是否能正常查看和显示,是否能正常的购买商品和支付,查看购
物车功能能否正常使用。
二.测试标准
之前的测试过程并没有对预测结果有任何标准性的限制,导致测试的结果无法达到一个标准化。现由我和小潘一起规定了网站测试方法,以后的测试标准将根据网站测试方法进行实施。
测试标准详见网站测试方法 三.测试结果汇报
根据技术部对于项目模块改进说明书的反馈意见,发现之前提交的项目模块改进说明书存在一定问题就是对于问题的说明和修改的意见描述的不够准确导致技术部无法对问题做出相应的处理或处理结果较实际比较不理想。
总结之前的汇报情况对项目模块改进说明书中的问题描述要求尽量附上截图,以便说明问题的具体情况和出现错误的位置。对于改进意见需做详细的说明,做到写明修改内容、修改要求以及修改所要达到的效果。
由于其他的平台的功能建设还不够齐全如微网、百科,这里先暂时不做系统性的规划,对于这份总结规划还存在许多不足之处在以后的工作中会逐渐完善。
第四篇:硬件及安全测试
2011年硬件基础知识、质量安全规范试题 姓名:
一、填空题:
1、人身安全电压要求低于__ _V。
2、工程安装中,现场向客户提供的公司集中受理800电话为:,工程安装的技术问题公司集中受理800电话为:。
3、机房应配备灭火消防器材,灭火器材不能采用体,应采用或 固体。
4、机房“三度”是指:。
5、工程现场的安装操作人员和机房维护人员在作业时(接触产品的硬件作业)要求:操作人员必须要求,腕带要与机柜上的腕带接地孔可靠连接,并检查保证机柜良好。
6、机架安装垂直度偏差应不大于,大列主走道侧必须对齐成直线,误差小于。
7、未插光纤的光口板,其光口必须用__ ___进行防尘处理。
8、SUPPORT网站存在路径为:,该质量标准中规定:机柜安装与设计文件不相符属于类问题,单板紧固螺钉未紧固属于类问题,客户机房防火未达标属于类问题,工程未自检属于类问题,标签未粘贴属类问题,于电源线线鼻有露铜属于类问题。
9、一排机柜正面与另一排机柜正面之间距离不小于米;机柜侧面与墙的距离不小于米;机柜正面与墙距离为米;机房应留有不小于米的通道。
10、质量标准要求电源线与信号线分开的间距_ __。
11、在布放各种电缆和光纤时,电缆和光纤两端应按规范做___ __。
12、硬件设备加电前要做
13、EPMS系统中的“实际完工日期”必须与的用户签章日期完全一致,如用户没有签署日期,则以《设备安装报告》上的“开通日期”为准。
14、EPMS系统质量检查报告问题处理情况可以选择:_________、___________、__________、_________、__________________。
15、在开工协调会上,工程督导与客户商定工程安装周期、进度计划及配合事宜,共同签订《》,并制定《》。
二、判断题:
1、在录入工程实际开工日期前,不必录入真实的“工程督导”、“客户联系人姓名”、“用户联系人电话”信息,否则,一次性扣资信分5分。()
2、现场施工工具需要的电源可以自己解决,只需电源负荷应满足工具需要。()
3、工程质量自检报告上载的责任人为工程督导。()
4、合作资信评定结果和合作单位工程价格无关。()
5、质量是产品或服务的固有特性满足客户要求的程度。()
6、EPMS系统录入完工质量检查报告时,质量得分系统自动计算,不能手工修改。()
7、质量管理的三个阶段:质量检验、统计质量管理、全面质量管理()
8、工程项目管理系统(EPMS系统)的登录网址是gds.huawei.com()
9、为工程师工程技术问题集中受理电话号码是8008302118()
10、质量管理活动主要分为:质量_计划(策划)、质量控制、质量保证、质量改进四个部分。()
11、办事处检查的不合格完工质量检查结果不进行质量违约金处罚。()
12、对EPMS系统中“实际完工日期”和“完工录入日期”差距国内5个自然日以上(含5天)的工程记为录入不及时工程。()
13、质量方针必须由最高管理者亲自制定。()
14、全面质量管理,是以质量为中心,以全员参与为基础,旨在通过让顾客和所有相关方受益而达到长期成功的一种管理途径。()
三、单项选择:
1、公司对工程自检报告的考核是以()为准。
A、实际完工时间B、完工录入时间
C、文档提交时间D、办事处确认完工时间
2、工程客户满意度调查客户联系人优先以()为准。
B、自检报告中的客户联系人
C、办事处工程周报中填写的客户联系人
D、EPMS系统基本信息填写的客户联系人
E、文档中填写的客户联系人
3、国家通信建设程序要求:
A、初验通过工程就可结束;
C、先割接后初验;B、系统测试通过初验就通过; D、先初验后割接;
4、室外设备在安装过程中必须注意:()
A、防火;B、防盗;C、防风;D、防水;
5、进行业务割接、数据设定、带电拨插重要单板、加载、关电复位等操作的行业默认时间是()
A、23:00-6:00;B、00:00-6:00;
C、01:00-6:00;D、02:00-6:00;
6、不属于人身安全防护范畴的有()
A、手套;B、防辐射服;C、防静电手腕;D、防护眼镜;
7、机架放置按__________来确定。()
A、安装手册;B、质量标准;C、随工指定;D、设计图纸
8、关于机柜外光尾纤保护的不当做法是:()
A、尽量使用公司配发的波纹管;
B、可以使用光尾纤专用线槽布放;
C、光尾纤接触的物件不能有锋利断面;
9、直流电源线与信号线必须分开的最主要原因是:()
A、电源线需要散热;B、电源线会产生干扰;
C、信号线容易被压坏;D、不利于扩10、800号是
A.个人通信B虚拟网C大众信息D被叫付费
四、多项选择题:(必须全部选正确)
1、工程实施必须依据哪些要求()
A、设计文件图纸B、产品安装规范;
C、数据设定规范;D、客户规范;
2、带电操作时应注意()
A、衣着不能有外露金属物体;B、工具工作面外的金属部位应用胶布缠绕绝缘;
C、手不能进入机柜操作;D、必须戴手套;
3、货物存放规范的是()
A、符合堆码极限层数要求;B、不能在室外存放;
C、楼板承重应满足要求;D、不影响消防通道;
4、重大工程割接、升级操作前应()
A、制定详细的操作技术方案;B、准备安全倒回措施;
C、配备专家担任后方支援;D、发回公司进行数据检查;
5、工程质量自检的含义有:()
A、工程督导完成一项工序(操作、设置)后的自我检查;
B、工程督导在当天现场工作结束后对当天工作内容的复核自我检查;
C、工程督导在工程完成后对比照自检标准进行自我检查;
D、办事处对工程进行的抽查;
6、在开箱验货时,工程督导和用户应首先检查以下哪些内容:()
A、包装箱是否损坏;B、电缆是否齐全;C、机柜附件;D、包装件数
7、需提交公司文档中心归档验收的工程服务交付文档包括:()
A、设备安装报告;B、硬件安装竣工报告;
C、系统初验证书;D、工程竣工验收证书
8、工程录入初验时间之前,以下必须录入的:()
A、计划开工时间B、计划完工时间C、客户联系人
D、工程督导E、自检报告
9、工程督导在验收前硬件方面应检查哪些方面:()
A、安装工艺B、机房的整洁卫生
C、地线连接方式及地阻D、整机试通电
10、可以从EPMS系统获取哪些工程信息:()
A、装箱单; B、勘测报告; C、工程合作PO单; D、质量检查报告
五、简答题:
1、简述华为六戒律
答:
石家庄办事处是五大高压线!
2、简述工程施工如何通过事前、事中、事后来控制工程质量。
3、简述高危流程及应注意项
4、、某工程督导现场对某干线传输工程进行扩容,下午16:00钟,督导拔插尾纤进行业务调整,拔出第二根尾纤时,设备产生严重告警,且有某大客户投诉业务中断,督导、办事处工程师立即对业务进行恢复,事后发现是拔错正在有业务运行的尾纤导致此重大事故,请分析事故原因。
5.简单描述货物反馈流程
6、画图说明2M到STM-1的映射过程7、2500+、OSN3500的对偶板位
8、Metro1000、2500+、OSN3500各支持多少路Ecc9、简单描述sncp环破环加点的步骤
10、出现光路误码可能原因,怎样处理
第五篇:软件测试心得体会
下面简单谈谈我的几点体会:
体会一:软件测试在整个软件周期中的重要性。
它存在于整个项目周期,在项目开始之初需求调研的时候就开始了,在形成需求规格说明书的时候就需要针对文档进行测试。这个环节在后续整个项目中占了很大的比重,能主导整个项目的走向,成败与否全在于开始阶段的决策。
体会二:软件测试的真正意义在于发现错误,而不在于验证软件是正确的。
再严密的测试也不能完全发现软件当中所有的错误,但是测试还是能发现大部分的错误,能确保软件基本是可用的,所以在后续使用的过程中还需要加强快速响应的环节。结合软件测试的理论,故障暴露在最终客户端之前及时主动的去发现并解决。这一点就需要加强研发队伍的建设。
体会三:在系统性能测试方面需要重视。
经过这次培训中多个案例的讲解,让我了解到系统在上线之后会有很多不能预知的性能问题,需要在上线之前实现进行模拟,以规避风险,包括大数据量访问,高并发数等等。
当然也有很多应对手段,没有哪种手段可称为最完美,只有最合适的,需要灵活掌握,综合运用以达到最优程度,这是个很值得研究的领域。
下面是本人的几点想法:
想法一:加强系统上线前的性能测试。
目前我们在项目建设过程中对性能压力测试的重视程度还不太高,厂家也很少有雇佣第三方的测试机构。而是在现网进行试用,遇到问题再解决,可能会产生滞后问题,影响客户使用。希望以后能在性能测试方面提高重视程度,加大人力投入,以保证系统上线后能够稳定运行。
想法二:适当介入相关项目研发
对于快速响应这块,我们不能一味依赖厂家,而希望自己就能快速响应,及时将问题解决。这也是一个比较长远的问题,需要加强研发力量的投入。
我个人是做开发出身,有此类经验,当时是在客户现场,因为了解系统内部结构,能够在第一时间排查解决客户所反馈问题。
现在系统完全由厂家开发,很难了解内部结构,或许会造成后期维护困难。所以,是否应该针对某些项目介入厂家研发工作,比如请厂家提供源代码等相关要素,以增进维护人员对系统的了解。
最后再次感谢公司提供的平台,感谢领导的信任,让我有机会得到更深层次的学习以及展示自己能力的机会,我也会尽我所能来完善工作的系统,提高整体工作效率,为南方电网的发展建设提供更坚实,优秀的支撑服务平台。