安全测试——验证日志文件
口令验证
目前大多数的Web系统都设置了登陆功能,只有验证通过后,才能访问相关的数据信息。在测试此类功能时,必须测试有效和无效的用户名及口令,同时需考虑大小写、错误次数限制、代码注入等。口令安全测试通常融合在功能测试中。
授权验证
典型的业务系统基本由用户、用户组(角色)、权限及基本功能构成,权限管理在整个业务系统中起着至关重要的作用,即使通过了口令验证,不同用户、不用角色仍可能具有不同的权限,因此在测试过程中需重点测试授权问题,如未登陆是否可以浏览信息、未授权是否可以使用功能、权限重叠时能否正确分配等。
【案例1 ECShop授权测试】
ECShop管理员设置时,可根据创建的角色,分配对应的权限,然后检测该角色的用户能否使用赋予的权限,未赋予的权限则不应使用。
1) Admin登陆后台,创建“商品管理员”角色,并赋予商品管理相关权限,其他权限则不设置,如图1所示。
图1 ECShop后台创建角色
2) 创建管理员,并将其角色设置为“商品管理员”,如图2所示。
图2 创建商品管理员用户
3) 使用“liudebao”帐号登陆后台,验证权限是否正确,“商品管理员”角色应当具有商品管理的所有权限,其他未赋予权限的模块则不应当出现,但实际测试时出现设计方面的缺陷,“liudebao”应用界面出现了“短信管理”-“短信签名”菜单,但进入后提示信息如图5- 62所示,而其他无权模块均不可见,因此两者设计方式不统一,测试工程师应当提交“权限模块控制方式不一致”方面的缺陷。
图3 模块权限错误提示信息
权限测试在实际测试工作中是一个难点,因为可能涉及非常多的权限,测试方法可使用正交试验方法进行优化测试用例组合,从而减少用例,提高测试效率与效果。
日志文件
日志的功能是追踪,任何可能危害系统安全的操作都应被记录,测试时需确认是否以安全的方式记录了应该记录的信息。
【案例2 ECShop日志功能测试】
ECShop的后台管理员可查看管理员对系统的操作行为,如图4所示。
图4 管理员操作日志
从功能测试角度考虑,需验证该日志管理功能是否正确实现,但从安全测试角度,则需考虑该日志管理是否记录了应该记录的信息,从日记记录的结果来看,并没有对其他管理员的操作进行记录,而且其他角色的用户即使赋予了日志管理权限,但也只能查看admin用户的操作日志,因此测试工程师测试此处功能时可提交一个日志记录方面建议性的缺陷。
安全测试——验证日志文件相关推荐
- Android APP测试的日志文件抓取
1 log文件分类简介 实时打印的主要有:logcat main,logcat radio,logcat events,tcpdump,还有高通平台的还会有QXDM日志 状态信息的有: ...
- java怎么抓取测试apk日志_Android测试日志文件抓取与分析
1.log文件分类简介 实时打印的主要有:logcat main,logcat radio,logcat events,tcpdump,还有高通平台的还会有QXDM日志 状态信息的有:adb shel ...
- 渗透测试-中间件日志包含绕过和php文件读写包含
中间件日志包含绕过 文章目录 中间件日志包含绕过 前言 一.什么是中间件日志包含绕过 二.中间件日志包含漏洞获取shell 1.中间件日志包含 2.利用Apache日志获取shell 总结 前言 一. ...
- Linux使用logrotate来切割日志文件
程序在运行的时候为了了解运行状态,会输出日志文件,时间久了日志文件会变得非常大,甚至达到GB级别.我在golang应用里使用logrus包来打日志,配置和使用都很方便,就是没有日志分割的功能,应用在线 ...
- mysql ldf文件太大_Linux_数据库清除日志文件(LDF文件过大),清除日志: 复制代码 代码如 - phpStudy...
数据库清除日志文件(LDF文件过大) 清除日志: 复制代码 代码如下: DECLARE @LogicalFileName sysname, @MaxMinutes INT, @NewSize INT ...
- mysql8日志文件密码_mysql8 参考手册--mysqlbinlog-处理二进制日志文件的实用程序
服务器的二进制日志由包含" 事件 "的文件组成,这些 事件描述了对数据库内容的修改.服务器以二进制格式写入这些文件.要以文本格式显示其内容,请使用 mysqlbinlog实用程序. ...
- fn_dblog_如何使用fn_dblog和fn_dump_dblog直接在SQL Server数据库中连续读取事务日志文件数据
fn_dblog 大纲 (Outline) In this article, we'll discuss how to read SQL Server transaction logs. This a ...
- 删除不需要的(辅助)SQL Server事务日志文件
This article explores the use of multiple SQL Server Transaction Log Files and the process of removi ...
- oracle 开并行写入命令,Oracle等待事件“日志文件并行写入”更改
这篇文章是关于如何测量"日志文件并行写入"事件的时间.这对于Oracle数据库中任何更改活动的性能调整都很重要,因为使用默认提交设置,提交更改的前台会话将在等待事件"日志 ...
最新文章
- 登录DMOZ/如何登录DMOZ分类目录
- sublime无法输入中文(转)
- VB用API实现各种对话框(总结)(转载)
- 狼奔代码生成器使用说明
- ORA-00845 方案解决
- 那些在大厂做外包的测试工程师,后来发展怎么样了?
- java中12个月_C中的12个月日历
- W3school和W3Cschool的区别
- 模拟器游戏修改之教你如何修改gba rom里的程序!
- 10G家庭光纤网络如何部署?
- 顺序表的基本操作(含全部代码c)
- gltf模型浏览器_腾讯硬核干货!如何在页面极速渲染3D模型
- 部署大宗商品撮合交易平台,实现高效交易与资源信息对接
- 通过“控制面板-程序和附件“查看程序安装位置(终极篇)
- 15.模拟e^x的麦克劳林展开式
- 1228 序列求和 (伯努利数)
- linux stm32 swd,stm32 JTAG和SWD的使用区别
- 【小沐学C++】C++17实现文件操作<filesystem>
- CREATE EXTERNAL TABLE 语句
- AOP支持spEL表达式