软件安全测试包括程序、网络和数据库安全测试。根据系统安全指标的不同,测试策略也不同。

1.用户程序安全性的测试应考虑以下问题:

明确区分系统中不同用户的权限;

系统中是否会出现用户冲突;

系统是否会因为用户权限的变化而混乱;

用户登录密码是否可见、可复制;

能否以绝对方式登录系统(用户登录后复制链接,直接进入系统);

用户推出系统后是否删除了所有认证标志,是否可以使用Back键进入系统而无需输入密码。

2.系统网络安全测试需要考虑的问题包括:

(1)测试所采取的防护措施是否正确组装,相关系统的补丁是否贴上;

模拟未授权攻击,看防护体系是否牢固;

使用成熟的网络漏洞检查工具检查系统相关漏洞;

(4)使用各种木马检查工具检查系统的木马情况;

使用各种插件防范工具,检查系统中各个程序的插件漏洞。

3.数据库安全注意事项:

(1)系统数据是否保密(比如对于银行系统来说,这一点尤为重要,一般网站要求不高);

系统数据的完整性;

系统数据的可管理性;

系统数据的独立性;

系统数据备份和恢复的能力(数据备份是否完整,能否恢复,恢复是否完整)。