软件测试中安全性测试常见的十个问题(共2页).doc

精选优质文档-倾情为你奉上软件测试中安全性测试常见的十个问题来源：考试大【考试大：我的学习乐园,我的考试专家】2009年6月16日1、问题：没有被验证的输入测试方法：数据类型（字符串，整型，实数，等）允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值（枚举型）特定的模式（正则表达式）2、问题：有问题的访问控制测试方法：主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址例：从一个页面链到另一个页面的间隙可以看到URL地址直接输入该地址，可以看到自己没有权限的页面信息3、错误的认证和会话管理分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。浏览器缓存：认证和会话数据不应该作为GET的一部分来发送，应该使用POST。4、问题：跨站脚本（XSS）分析：攻击者使用跨