一、安全性测试定义:安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。二、测试范围正式环境:1.发布前需要对发布包进行一次杀毒。2.服务器需要安装杀毒软件并且定期更新和杀毒。3.服务器和数据库等密码需要满足一定的复杂度。功能类:1.认证模块必须采用防暴力破解机制。例如:验证码或者多次连续尝试登录失败后锁定帐号或IP,账号冻结后,管理员可以手动解冻。2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。3.登录过程中,往服务器端传递用户名和口令时,必须采用HTTPS安全协议(也就是带服务器端证书的SSL)。4.用户产生的数据必须在服务端进行校验。5.所有非查询的操作必须有日志记录。6.密码需要满足一定的长度和复杂度,并且以高级的加密方法保存在数据库。7.口令在传输的过程中以密文的形式传输。8.