Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19911704
  • 博文数量: 679
  • 博客积分: 10495
  • 博客等级: 上将
  • 技术积分: 9308
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-18 10:51
文章分类

全部博文(679)

文章存档

2012年(5)

2011年(38)

2010年(86)

2009年(145)

2008年(170)

2007年(165)

2006年(89)

分类: 项目管理

2009-03-03 09:41:43

什么是安全测试

磁针石

联系方式: gmail and gtalk: xurongzhong#gmail.com



安全测试:提供应用程序在受到敌意和恶意输入时能满足需求的证据。

Security testing is providing evidence that an application sufficiently fulfills its requirements in the face of hostile and malicious inputs.

提供证据难在设计反安全输入和测试。

普通测试中可以参考ANSI/IEEE Standard 729 来确定是否满足需求。但是很多软件很可能忽略了安全的需求。安全测试不是绝对安全,只要用户可以接受就可以。

   
安全测试的输入更加庞大,比如:convertIntToRoman:把至MAXINT的正整数转换为罗马字符。
     
功能测试:输入"5",期待"V"
     
边界测试:0, -1,
     
错误处理:"-5",不是输出"–V",而是有合适的定义的错误提示。

    异常测试:等价类划分,3.42不能输出为"III.IVII",怪异字符串"Fork"等。

    安全测试则会采用9494949494,这样可能可能导致递归,消耗更多的内存。

 

    边界值:比如0-100一般会测试–1, 0, 1, 37, 99, 100, 101

    等价类:上例中可以使用负数,很大的正数,字符串,十进制数,特殊数比如MAXINT。一般每个等价类使用2个数。

    安全类:比如SQL注入,cross-site脚本, 编码方式。编码可以压缩至几种:URL-encode others, HTML-encodeBase 64,一种编码方式一个用例就可以。

阅读(2344) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~