軟件安全性測試主要包括程序、數(shù)據(jù)庫安全性測試。根據(jù)系統(tǒng)安全指標不同測試策略也不同。

用戶身份認證安全的測試要考慮問題：
1.明確區(qū)分系統(tǒng)中不同用戶權限
2.系統(tǒng)中會不會出現(xiàn)用戶沖突
3.系統(tǒng)會不會因用戶的權限的改變造成混亂
4.用戶登陸密碼是否是可見、可復制
5.系統(tǒng)的密碼策略，通常涉及到隱私，錢財或機密性的系統(tǒng)必須設置高可用的密碼策略。
5.是否可以通過絕對途徑登陸系統(tǒng)（拷貝用戶登陸后的鏈接直接進入系統(tǒng)）
6.用戶推出系統(tǒng)后是否刪除了所有鑒權標記，是否可以使用后退鍵而不通過輸入口令進入系統(tǒng)

系統(tǒng)網(wǎng)絡安全的測試要考慮問題：
1.測試采取的防護措施是否正確裝配好，有關系統(tǒng)的補丁是否打上
2.模擬非授權攻擊，看防護系統(tǒng)是否堅固
3.采用成熟的網(wǎng)絡漏洞檢查工具檢查系統(tǒng)相關漏洞（即用最專業(yè)的黑客攻擊工具攻擊試一下，現(xiàn)在最常用的是 NBSI系列和 IPhacker IP ）
4.采用各種木馬檢查工具檢查系統(tǒng)木馬情況
5.采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞

數(shù)據(jù)庫安全考慮問題：
1.系統(tǒng)數(shù)據(jù)是否機密（比如對銀行系統(tǒng)，這一點就特別重要，一般的網(wǎng)站就沒有太高要求）
2.系統(tǒng)數(shù)據(jù)的完整性（我剛剛結束的企業(yè)實名核查服務系統(tǒng)中就曾存在數(shù)據(jù)的不完整，對于這個系統(tǒng)的功能實現(xiàn)有了障礙）
3.系統(tǒng)數(shù)據(jù)可管理性
4.系統(tǒng)數(shù)據(jù)的獨立性
5.系統(tǒng)數(shù)據(jù)可備份和恢復能力（數(shù)據(jù)備份是否完整，可否恢復，恢復是否可以完整）

瀏覽器安全
同源策略：不同源的“document”或腳本，不能讀取或者設置當前的“document”
同源定義：host（域名，或者IP），port（端口號），protocol（協(xié)議）三者一致才屬于同源。
要注意的是，同源策略只是一種策略，而非實現(xiàn)。這個策略被用于一些特定的點來保護web的安全。

★
★
★javascript:alert(/xss/)
★javascript:alert(/xss/)
★ 
★ 
★
★=’> 
★1.jpg" onmouseover="alert('xss')
★">
★http://xxx';alert('xss');var/ a='a
★’”>xss&<
★"onmouseover=alert('hello');"
★&{alert('hello');}
  ★>"'>
  ★>%22%27>
★>"'> %26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>
  ★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22
  ★%22%2Balert(%27XSS%27)%2B%22
  ★

  ★
  ★
  ★a?
★

廣州賽度檢測服務有限公司

曾先生

• [聯(lián)系時請說明來自 檢測通]

• 在線客服:
• 
• 留言咨詢

• 聯(lián)系方式：

• 請點擊查看電話

• 郵件：
• 發(fā)送郵件

• 地址：
• 嘉東廣場A5棟1503

推薦服務

• 廣州信息系統(tǒng)服務交付能力評估
• 信息技術服務運行維護標準ITSS
• 信息系統(tǒng)建設和服務能力評估CS
• 科技成果評價 市科技成果登記
• 四川省軟件服務商交付能力評估
• 上海市軟件服務商交付能力評估
• 西藏自治區(qū)軟件服務商交付能力
• 軟件服務商交付能力評估SDCA
• 技術合同登記 廣東省技術合同
• 信息系統(tǒng)建設和服務能力評估CS
• 信息系統(tǒng)建設和服務能力評估CS
• 省外單位安全技術防范系統(tǒng)設計
• 科技成果評價 市級科技成果登
• 廣州技術合同登記認定
• 廣東省計算機信息系統(tǒng)安全服務