安全、性能测试常见问题与注意事项

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wildboy2001/article/details/96564861

最近一项目验收,接待2波测试:政务云环境运营公司、甲方雇佣的第三方测试单位。

主要包含安全和性能测试两类,安全方面常见问题如下:

  • SQL注入(特别常见,至少是参数化SQL,别是SQL拼接;其次是关键字和特殊字符过滤转义;GET/POST请求都需注意)
  • 数据库访问权限(限制应用对数据库的访问权限:部分表、只读等)
  • 越权访问(系统的栏目和页面未做服务端权限管理,修改客户端代码可以绕过认证,访问该用户无权限访问页面)
  • 用户及密码未进行加密传输和存储,尝试3次后自动锁定一定时长
  • 用户密码允许弱密码,未做复杂度要求
  • 同一帐号允许多处多浏览器登录
  • 用户登录后会话时长设置,超时后自动锁定或退出
  • 无日志记录
  • Web容器允许目录遍历,未升级至较新版本
  • 是否支持https等安全通信协议
  • CORS劫持
  • XSS

性能测试常见问题如下:

  • 招标文件及技术方案中对于性能指标的响应一定要加环境条件(什么网络、网络带宽、服务器节点数、服务器配置等)
  • 场景和用例的承诺一定要有常识,要谨慎(高IO、带宽开销、长事务大运算的用例和场景承诺要谨慎)
  • 对于并发访问量的承诺一定要有常识,要谨慎(500并发?意味着3000-5000人在线,12000-30000注册用户。你承接的系统是这个规划吗?项目金额匹配吗?)
  • 架构和调优都重要(ngix负载均衡+n节点的弹性伸缩架构,网络、数据库查询、请求等各环节优化与缓存考虑)

 

     随着信息化越来越深入和专精,产品化是必然趋势。那么权限管控、日志记录、登录访问、安全机制等标准模块型构件一定得经得起推敲及测评。

       万事都需成本,设计、开发、自测、调优、现场支持等等都是成本和费用,项目策划和投标时尽量考虑到。

展开阅读全文

没有更多推荐了,返回首页