性能和安全性测试的主要测试内容

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

性能测试的主要测试内容是什么?

软件测试

基准测试:比较新的或未知测试对象与已知参照标准(如现有软件或评测标准)的性能。争用测试:核实测试对象对于多个主角对相同资源(数据记录、内存等)的请求的处理是否可以接受。

性能配置:核实在操作条件保持不变的情况下,测试对象在使用不同配置时其性能行为的可接受性。

负载测试(Load Test)-是一种性能测试,指数据在超负荷环境中运行,程序是否能够承担。核实在保持配置不变的情况下,测试对象在不同操作条件(如不同用户数、事务数等)下性能行为的可接受性。

强度测试Stress Testing -核实测试对象性能行为在异常或极端条件(如资源减少或用户数过多)之下的可接受性。强度测试在系统资源特别低的情况下软件系统运行情况,目的是找到系统在哪里失效以及如何失效的地方。强度测试包括:

Spike testing:短时间的极端负载测试

Extreme testing:在过量用户下的负载测试

Hammer testing:连续执行所有能做的操作

容量测试(Volume Test):确定系统可处理同时在线的最大用户数

关注点:how much(而不是how fast)

容量测试,通常和数据库有关,容量和负载的区别在于:容量关注的是大容量,而不需要表现实际的使用。

安全性测试的内容

一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。

1.安全体系测试

1)部署与基础结构

网络是否提供了安全的通信

部署拓扑结构是否包括内部的防火墙

部署拓扑结构中是否包括远程应用程序服务器

基础结构安全性需求的限制是什么

目标环境支持怎样的信任级别

2)输入验证

如何验证输入

A.是否清楚入口点

B.是否清楚信任边界

C.是否验证Web页输入

D.是否对传递到组件或Web服务的参数进行验证

E.是否验证从数据库中检索的数据

F.是否将方法集中起来

G.是否依赖客户端的验证

H.应用程序是否易受SQL注入攻击

I.应用程序是否易受XSS攻击

如何处理输入

3)身份验证

是否区分公共访问和受限访问

是否明确服务帐户要求

如何验证调用者身份

如何验证数据库的身份

是否强制试用帐户管理措施

4)授权

如何向最终用户授权

如何在数据库中授权应用程序

如何将访问限定于系统级资源

5)配置管理

是否支持远程管理

是否保证配置存储的安全

是否隔离管理员特权

6)敏感数据

是否存储机密信息

如何存储敏感数据

是否在网络中传递敏感数据是否记录敏感数据

7)会话管理

如何交换会话标识符

是否限制会话生存期

如何确保会话存储状态的安全

8)加密

为何使用特定的算法

如何确保加密密钥的安全性

9)参数操作

是否验证所有的输入参数

是否在参数过程中传递敏感数据

是否为了安全问题而使用HTTP头数据

10)异常管理

是否使用结构化的异常处理

是否向客户端公开了太多的信息

11)审核和日志记录

是否明确了要审核的活动

是否考虑如何流动原始调用这身份

2.应用及传输安全

WEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全,安全性测试也可以从这两方面入手。

应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患,主要测试区域如下。

注册与登陆:现在的Web应用系统基本采用先注册,后登录的方式。

A.必须测试有效和无效的用户名和密码

B.要注意是否存在大小写敏感,

C.可以尝试多少次的限制

D.是否可以不登录而直接浏览某个页面等。

在线超时:Web应用系统是否有超时的限制,也就是说,用户登陆一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。

操作留痕:为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。

备份与恢复:为了防范系统的意外崩溃造成的数据丢失,备份与恢复手段是一个Web系统的必备功能。备份与恢复根据Web系统对安全性的要求可以采用多种手段,如数据库增量备份、数据库完全备份、系统完全备份等。出于更高的安全性要求,某些实时系统经常会采用双机热备或多级热备。除了对于这些备份与恢复方式进行验证测试以外,还要评估这种备份与恢复方式是否满足Web 系统的安全性需求。

传输级的安全测试是考虑到Web系统的传输的特殊性,重点测试数据经客户端传送到服务器端可能存在的安全漏洞,以及服务器防范非法访问的能力。一般测试项目包括以下几个方面。

相关文档
最新文档