軟件安全性測(cè)試主要包括程序、數(shù)據(jù)庫(kù)安全性測(cè)試。根據(jù)系統(tǒng)安全指標(biāo)不同測(cè)試策略也不同。

用戶身份認(rèn)證安全的測(cè)試要考慮問(wèn)題：
1.明確區(qū)分系統(tǒng)中不同用戶權(quán)限
2.系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突
3.系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y
4.用戶登陸密碼是否是可見、可復(fù)制
5.系統(tǒng)的密碼策略，通常涉及到隱私，錢財(cái)或機(jī)密性的系統(tǒng)必須設(shè)置高可用的密碼策略。
5.是否可以通過(guò)絕對(duì)途徑登陸系統(tǒng)（拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng)）
6.用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過(guò)輸入口令進(jìn)入系統(tǒng)

系統(tǒng)網(wǎng)絡(luò)安全的測(cè)試要考慮問(wèn)題：
1.測(cè)試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上
2.模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅(jiān)固
3.采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞（即用最專業(yè)的黑客攻擊工具攻擊試一下，現(xiàn)在最常用的是 NBSI系列和 IPhacker IP ）
4.采用各種木馬檢查工具檢查系統(tǒng)木馬情況
5.采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞

數(shù)據(jù)庫(kù)安全考慮問(wèn)題：
1.系統(tǒng)數(shù)據(jù)是否機(jī)密（比如對(duì)銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒(méi)有太高要求）
2.系統(tǒng)數(shù)據(jù)的完整性（我剛剛結(jié)束的企業(yè)實(shí)名核查服務(wù)系統(tǒng)中就曾存在數(shù)據(jù)的不完整，對(duì)于這個(gè)系統(tǒng)的功能實(shí)現(xiàn)有了障礙）
3.系統(tǒng)數(shù)據(jù)可管理性
4.系統(tǒng)數(shù)據(jù)的獨(dú)立性
5.系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力（數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整）

瀏覽器安全
同源策略：不同源的“document”或腳本，不能讀取或者設(shè)置當(dāng)前的“document”
同源定義：host（域名，或者IP），port（端口號(hào)），protocol（協(xié)議）三者一致才屬于同源。
要注意的是，同源策略只是一種策略，而非實(shí)現(xiàn)。這個(gè)策略被用于一些特定的點(diǎn)來(lái)保護(hù)web的安全。

★
★
★javascript:alert(/xss/)
★javascript:alert(/xss/)
★ 
★ 
★
★=’> 
★1.jpg" onmouseover="alert('xss')
★">
★http://xxx';alert('xss');var/ a='a
★’”>xss&<
★"onmouseover=alert('hello');"
★&{alert('hello');}
  ★>"'>
  ★>%22%27>
★>"'> %26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>
  ★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22
  ★%22%2Balert(%27XSS%27)%2B%22
  ★

  ★
  ★
  ★a?
★

廣州賽度檢測(cè)服務(wù)有限公司

曾先生

• [聯(lián)系時(shí)請(qǐng)說(shuō)明來(lái)自 檢測(cè)通]

• 在線客服:
• 
• 留言咨詢

• 聯(lián)系方式：

• 請(qǐng)點(diǎn)擊查看電話

• 郵件：
• 發(fā)送郵件

• 地址：
• 嘉東廣場(chǎng)A5棟1503

推薦服務(wù)

• 云南省信息系統(tǒng)服務(wù)交付能力評(píng)
• 信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS
• 西藏自治區(qū)軟件服務(wù)商交付能力
• 軟件服務(wù)商交付能力評(píng)估SDCA
• 廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、
• 省外單位安全技術(shù)防范系統(tǒng)設(shè)計(jì)
• 科技成果評(píng)價(jià) 市級(jí)科技成果登
• 科技成果評(píng)價(jià) 省級(jí)科技成果登
• 福建省信息系統(tǒng)服務(wù)交付能力評(píng)
• 廣東省計(jì)算機(jī)信息系統(tǒng)安全服務(wù)
• 深圳市計(jì)算機(jī)信息系統(tǒng)安全服務(wù)
• 珠海市計(jì)算機(jī)信息系統(tǒng)安全服務(wù)
• 惠州市計(jì)算機(jī)信息系統(tǒng)安全服務(wù)
• 陽(yáng)江市計(jì)算機(jī)信息系統(tǒng)安全服務(wù)
• 茂名市計(jì)算機(jī)信息系統(tǒng)安全服務(wù)