安全、性能测试常见问题与注意事项

最新推荐文章于 2024-04-25 16:14:27 发布
最新推荐文章于 2024-04-25 16:14:27 发布
阅读量4.2k 收藏 5
点赞数 2
分类专栏: 项目实施与管理 文章标签: 安全 渗透测试 性能测试 web开发 网络攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wildboy2001/article/details/96564861
版权

最近一项目验收,接待2波测试:政务云环境运营公司、甲方雇佣的第三方测试单位。

主要包含安全和性能测试两类,安全方面常见问题如下:

  • SQL注入(特别常见,至少是参数化SQL,别是SQL拼接;其次是关键字和特殊字符过滤转义;GET/POST请求都需注意)
  • 数据库访问权限(限制应用对数据库的访问权限:部分表、只读等)
  • 越权访问(系统的栏目和页面未做服务端权限管理,修改客户端代码可以绕过认证,访问该用户无权限访问页面)
  • 用户及密码未进行加密传输和存储,尝试3次后自动锁定一定时长
  • 用户密码允许弱密码,未做复杂度要求
  • 同一帐号允许多处多浏览器登录
  • 用户登录后会话时长设置,超时后自动锁定或退出
  • 无日志记录
  • Web容器允许目录遍历,未升级至较新版本
  • 是否支持https等安全通信协议
  • CORS劫持
  • XSS

性能测试常见问题如下:

  • 招标文件及技术方案中对于性能指标的响应一定要加环境条件(什么网络、网络带宽、服务器节点数、服务器配置等)
  • 场景和用例的承诺一定要有常识,要谨慎(高IO、带宽开销、长事务大运算的用例和场景承诺要谨慎)
  • 对于并发访问量的承诺一定要有常识,要谨慎(500并发?意味着3000-5000人在线,12000-30000注册用户。你承接的系统是这个规划吗?项目金额匹配吗?)
  • 架构和调优都重要(ngix负载均衡+n节点的弹性伸缩架构,网络、数据库查询、请求等各环节优化与缓存考虑)

 

     随着信息化越来越深入和专精,产品化是必然趋势。那么权限管控、日志记录、登录访问、安全机制等标准模块型构件一定得经得起推敲及测评。

       万事都需成本,设计、开发、自测、调优、现场支持等等都是成本和费用,项目策划和投标时尽量考虑到。

Virgil_Ye
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件系统安全测试和性能测试的区别,【安全测试】性能测试进阶——基本概念篇...
weixin_35698738的博客
07-22 1533
本系列文章对性能测试中容易混淆的概念,方法进行总结。作为性能测试进阶版本,本文假设使用者已经会使用各种仪表,不会对基本配置进行描述。基本概念HTTP Test Scenario对下框中HTTP协议的,keep alive等的说明:建议直接查看思博伦Avalanche的帮助,已经总结得非常完备。不建议查看网上的文档,因为大多数网上的文档并没有彻底搞清楚这几个值的设置,对测试的影响关系,容易越看越晕,...
软件测试&性能测试&安全测试
HL_HLHL的博客
01-07 4455
软件测试原则 1.所有测试都应该追溯到用户需求 2.尽早不断地测试(代码之间互相关联) 3.测试发现的错误中80%很可能起源于20%的模块中 4.指定严格的测试计划 5.注重回归测试(指修改了旧代码后,重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误) 软件产品质量模型 1.功能新:满足用户需求 2.可靠性:第一层:设备最好不要出故障;第二层:设备出现故障了不要影响主要的功能和业务;第...
软件测试基础:自动化测试、安全测试、性能测试
人生不怕起点低,就怕没追求
08-20 1557
自动化测试的意义: 缩短软件开发测试周期,可以让产品更快投放市场 测试效率高,充分利用硬件资源 节省人力资源,降低测试成本 增强测试的稳定性和可靠性 提高软件测试的准确度和精确度,增加软件信任度 软件测试工具使测试工作相对比较容易,但能产生更高质量的测试结果 自动化测试应用场景分析 首先要考虑的是什么样的项目适合自动化? 决定项目是否采用自动化测试,通常要关注以下几个方面: 需求变更有计划性,并且频率不高 项目周期长,资源丰富 脚本重复利用率 代码规范 考虑了什么样的项目可以使用自动化,接下来我们要了解的.
软件测试基础(自动化测试、安全测试、性能测试
最新发布
2301_80119299的博客
04-25 873
LoadRunner是一种适用于介绍各种体系架构的负载测试工具,它能预测系统行为并优化系统性能LoadRunner的测试对象是整个企业的系统,它通过模拟实际用户操作行为和实行实时性能检测,来更快的查找和发现问题。
安全测试注意的事项
2201_75362610的博客
04-19 163
(一)WEb安全测试执行的时候,对于被测试的系统,都会差生一些或大或小的影响,所以在进行Web安全测试的时候,一般只在测试环境中进行,要自己搭建环境,一般的公司都有一套自己的测试环境可以专门来做WEb产品发布之前的安全测试。那么如果在现网中测试,必须配置专门的数据,安全测试是一门非常谨慎的测试活动,所以除了测试用来测试的数据其他的数据都不可以进行测试(修改删除)。(二)内部测试的时候可以去掉一些安全防护的软件(防火墙,保护措施设备等)这样可以保证发现的安全漏洞会更多一点。
安全测试需要注意的十大方向
softstarhhy的专栏
06-01 1327
1.sql注入         在通常参数的后面附带一个sql查询语句 2.失效的身份认证和会话管理 比如用户身份认证退出、密码管理、超时、记住我、秘密问题、帐户更新,登录等等。因为每一个实现都不同,要找出这些漏洞有时会很困难。 3.跨站脚本 (XSS,其中XSS有反射式和保存式(存储式),基于DOM的XSS漏洞)          其中跨站脚本最常用的是程序员编写代码时不正确的拼接ja
Jmeter性能测试常见问题
05-05
之前看了一个月的测试找到的资料,感觉挺好的,这里也是想测试一下看能不能上传文件,Jmeter性能测试常见问题
180个Android开发常见问题、实用技巧及注意事项
01-03
在Android开发过程中,开发者经常会遇到各种问题,这些挑战可能...以上只是部分Android开发中的常见问题、实用技巧和注意事项,实际开发中还有更多细节需要注意。不断学习和实践,才能成为一名优秀的Android开发者。
Android 9适配 常见问题注意事项
12-14
以下是一些在适配Android 9 Pie时可能会遇到的常见问题以及需要注意的事项: 1. **安全更新**:Android 9 Pie引入了更严格的安全策略,如限制后台位置访问和网络权限。开发需要检查应用是否依赖这些权限,并根据...
60条Android开发注意事项与经验总结
08-27
"Android开发注意事项与经验总结" 在Android App开发过程中,我们总结了60条技术经验注意事项,以下是详细的知识点总结: 1. 统一风格和处理公共事件:使用BaseActivity来继承所有Activity,构建对话框统一构建器...
性能测试监控指标及分析调优
06-06
**三、性能测试注意事项** 1. **Java编译优化**:Java程序在运行初期较慢,因为解释器先执行字节码,随着运行次数增加,热点代码会被JIT编译成机器码,导致后期运行速度加快。 2. **测试稳定性**:性能测试结果的...
如何做好软件安全测试
大数据处理,智能搜索推荐,自然语言处理,AI机器人对话,数据库读写分离
12-03 1197
近来,在我负责的公司某软件产品的最后测试工作,常常被问到这样一个问题:在做测试过程中,我们的软件产品在安全性方面考虑了多少?应该如何测评一个软件到底有多安全?  这个软件因为涉及客户商业上重要的信息资料,因此用户关心的核心问题始终围绕“这个软件安全吗”。一个由于设计导致的安全漏洞和一个由于实现导致的安全漏洞,对用户的最终影响都是巨大的。我的任务就是确保这个软件在安全性方面能满足客户期望。 
2021关于性能测试需要注意的6大要点(来看看自己还有那些没注意到)
测试界的彭于晏的博客
11-24 2696
2021关于性能测试需要注意的六大要点,快来看看你有那些不知道 目录 一、压测常识 二、服务器性能测试范围 三、脚本编写 四、压测实践 五、压测结果查看与分析 六、异常问题定位分析 一、压测常识 1、性能测试的工作流程 2、性能测试的类别 ·负载测试: 通过逐步加压的方法,达到既定的性能阈值的目标,阈值的设定应是小于某个值,如cpu使用率小于等于80%。 ·压力测试: 通过逐步加压的方法,使得系统的某些资源达到饱和,甚至失效的状态,简单粗暴的解释就是什么条件能把系统压崩溃。
划重点!入门安全测试,这几点要注意!
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-26 239
总的来说,入门安全测试需要学习基本的计算机和网络知识,掌握安全测试原理和方法,熟悉常用的安全测试工具,实践安全测试技术,并不断学习和保持更新。安全测试时从内容安全、数据合规、功能合规、隐私保护等安全角度考虑,在需求迭代流程中评估安全风险,通过引入安全测试工具,编写安全角度的测试用例及测试用例执行,以挖掘安全漏洞和风险的一系列动作。:了解安全测试的基本概念、原则和技术是入门的重要一步。根据应用程序和系统的特点,可能会出现其他类型的漏洞,因此综合使用不同的测试方法和工具来进行全面的安全测试是很重要的。
常见安全漏洞及测试方法
2301_76161259的博客
04-20 880
漏洞原理:用户输入的内容,不经过处理直接展示在web页面上,若用户输入的是可执行的js脚本将会被直接执行,则可能导致session_id被盗取,csrftoken被盗取,jsonp劫持refer防御失效,同域名下敏感信息页面被盗取等后果。在输入框输入”< >’ “ &”,当该输入框内容展示在页面上的时候,查看页面源码,若原样输入,则有漏洞,若被转义成””等html实体,则说明做了安全防护;针对需要执行代码的接口,根据可以执行的代码不同构造服务器命令调用的代码进行测试,若可以正常执行,则漏洞有效;
性能安全注意事项
u013178480的博客
08-07 320
Java 编程的一些规范,以后使用的时候需要注意: 1. 大量的字符串的拼接采用String Buffer,而不是直接使用“+” 2. For循环中未反复创建对象 3. For循环中未反复对数组对象取长度(不可裁剪) 4. 禁止出现三层以上的For循环嵌套 5. 禁止在For循环中进行数据库操作 6. 是否考虑到多线程并发时的线程安全性 7. 代码是否合理采用高效的数据结构,如:HashMa
接口测试之功能测试,性能测试安全测试
小宝的宝呢的博客
04-04 5852
目录 一,功能测试 1,单接口功能 手工测试中的单个业务模块,一般对应一个接口 借助工具,代码。绕开前端界面,组织接口所需要的数据,展开接口测试。 2,业务场景功能 二,性能测试 1,响应时长 2,吞吐量 3,并发熟练 4,服务器资源利用率 三,安全性测试 1,攻击安全 2,业务安全 一,功能测试 1,单接口功能 手工测试中的单个业务模块,一般对应一个接口 例如: 登录业务------登录接口 加入购物车业务------加入购物车接口 订单业务------订单.
接口测试之功能测试、性能测试安全测试详解
HUA6911的博客
09-09 247
性能测试指标是衡量系统性能的评价标准,常用的系统性能测试指标包括:响应时间、并发用户/并发、点击率,吞吐量、TPS/QPS、PV/UV;由于用户在进行一系列操作流程时有一定的时间间隔(即用户思考时间)或者服务器处理请求有先后顺序,于是,就产生了绝对并发和相对并发概念的区分。吞吐量是指系统处理客户请求数量的总和,可以指网络上传输数据包的总和,也可以指业务中客户端与服务器交互数据量的总和。绕开前端界面,组织接口所需要的数据,展开接口测试。登录---搜索商品---加购物车---下单---支付---评价。
软件安全测试的几个原则
weixin_30810239的博客
10-23 627
摘要:软件安全性是一个广泛而复杂的主题,要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。本文从软件安全测试需要考虑的问题,来探讨软件安全测试原则,通过遵循这些原则避免许多常见的安全性测试问题出现。 关键词:软件安全;测试;原则 软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软...
软件测试面试题和答案.doc
03-19
总结来说,这份文档涵盖了软件测试的多个关键方面,包括测试的目的、不同类型测试的特点、角色分工、测试计划的制定依据,以及实际操作中的注意事项和常见误区。对于准备软件测试面试或从事该领域的专业人士来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值