性能测试
性能测试一般公司都会有,但是专业测试公司还是会对并发和稳定性进行测试,例如并发100,4小时不间断请求
安全测试
安全测试分为两部分,一部分是服务器和数据库的配置安全性检查和测试,另外一部分是应用的安全性
服务器、数据库配置安全
1. 服务器漏洞检测和修复(定期)
2. 服务器的入侵防御,端口和ip,ssh ,密码强度,过期策略
3. 数据库的各种安全配置,登录失败处理,比如登录失败3次,服务器拒绝请求30分钟,数据库密码强度
4. 数据库审计功能,各种日志,error_log,slow_query_log,bin_log等
5. 服务器审计功能,登录失败日志,用户操作日志
应用安全
1. 应用必须是https,保证请求链路中数据安全
2. 必须加验证码以防止爆破
3. 数据安全性:权限控制,比如低权限用户是否可以获取高权限用户数据
解决方案
1. 服务器配置一般开放非典型端口映射
2. 关闭root用户,以centos为例
(11条消息) Linux 修改SSH端口 和 禁止Root远程登陆_David Dai -- Focus on Oracle-CSDN博客_ssh禁止root远程登录
3. 用户登录失败处理,以centos为例
Linux登录失败处理功能 - 芹溪 - 博客园 (cnblogs.com)
4. 系统日志
(11条消息) CentOS系统中常用查看系统信息和日志命令小结_少点套路,多点诚意-CSDN博客
5. 数据库ssl或者内网访问,登录超时处理
(11条消息) 设置Mysql的连接超时参数wait_timeout、interactive_timeout_安迪·潘 的专栏-CSDN博客
6. 数据库异地热备
7. 数据库登录失败处理
(11条消息) MySQL数据库限制多次登录失败重试时间_从入门到放弃-CSDN博客_mysql登录失败5次锁定300秒
8. 数据库日志
(11条消息) MySQL开启日志记录查询/执行过的SQL语句_探索丶挑战丶突破-CSDN博客_mysql开启日志记录
9. 应用https+登录验证码
10. 权限控制到数据或者api