应用安全测试设计怎么写?

时间:2022-02-09     来源:易思训教育 作者:易思训
分享: 更多

今天易思训(www.yisixun.com)小编要跟大家分享的文章是应用安全测试设计怎么写

 

一、账号管理

1. 账号唯一性:系统中的帐号名称具有唯一性(S1类)

1)操作员帐号、程序帐号、最终用户帐号唯一;(引入阶段:设计)

2)是否有可能绕过系统的账号唯一性校验;(引入阶段:设计和开发)

2. 帐号不能写死在代码中,须提供可管理(或配置)机制。(引入阶段:设计和开发)

 

身份认证:

1. 当用户访问受限资源或请求需要鉴权的操作时,必须先对提出该操作请求的用户成功地进行认证(引入阶段:设计)

2. 身份认证必须在服务端进行(引入阶段:设计和开发)

3. 认证失败不能提示详细错误原因(操作员帐号、最终用户帐号都要检查)

4. 为了防止暴力破解,必须使用验证码;且验证码是随用户名、密码同时提交到服务器端进行校验。

5. 验证码的机器识别率必须低于5%

6. 3次登录/认证失败后使用验证码时,原认证表单失效

7. 验证码模块生成的随机数不能在客户端的静态页面中的网页源代码里出现(引入阶段:开发)

8. 验证码内容不能与客户端提交信息相关联

9. 验证码字符串要求是随机生成(对于 java 语言可以使用类 java.security.SecureRandom 来生成安全的随机数。)

10. 验证码在一次使用后立即失效

11. 验证码检验通过后才进行用户名和密码的检验

 

. 强口令策略

1. 口令长度应可配;(引入阶段:设计)

2. 口令包含的字符、也就是复杂度可配;(引入阶段:设计和开发)

3. 修改自己的口令需验证旧口令;(引入阶段:设计和开发)

4. 界面上的口令不能明文显示;(引入阶段:设计和开发)

5. 口令输入框不支持拷出功能;(引入阶段:设计和开发)

6. 口令在本地存储时必须加密;(引入阶段:设计和开发)

7. 存储口令的文件/数据库表用户的访问权限控制;(引入阶段:设计和开发)

8. 提供账号口令清单;(引入阶段:资料和开发)

9. B/S 应用中,从服务器端的会话信息中获取修改口令的用户帐号(引入阶段:设计和开发)

10. 非运营商需求中明确要求有修改其它账号权限的超级管理员账号不可以修改其它账号的密码(引入阶段:设计和开发)

11. 操作员不可修改自身帐号以外帐号的口令(引入阶段:设计和开发)

12. 口令不能和用户名相同(引入阶段:设计和开发)

13. 内置账号口令管理(引入阶段:设计、资料和开发)

 

以上就是小编今天为大家分享的应用安全测试设计怎么写的文章,希望本篇文章能够对正在或想要学习安全测试的小伙伴们有所帮助,想要了解更多关于安全测试的教程,记得关注易思训教育IT培训官网(www.yisixun.com),希望同学们学习顺利。

 

IT培训选易思训教育培训机构,易思训IT培训课程是易思训品牌课程,易思训培训汇集IT培训讲师,IT就到易思训教育!了解详情请登陆易思训教育培训官网(www.yisixun.com)!

 


相关文章

今日优惠
免费试听教程