西安软件测试在哪学，软件测试应注意哪些原则呢

软件开发是一门有一定高度的职业，自然就业肯定也是门槛也是比较高，高新也不是问题，因此是更多年轻人向往的职业，当然每开发一个软件都是要不断的研发测试。最终成功上线的，所以可以说软件测试的软件开发的基础和铺垫，那么软件测试有什么技巧，测试有什么原则呢？下面西安软件开发?培训学校就给大家具体讲述，让我们轻松安全的进行软件测试。

     

一、软件安全测试基础知识有哪些

软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。

1.用户程序安全的测试要考虑问题包括：

① 明确区分系统中不同用户权限;

② 系统中会不会出现用户冲突;

③ 系统会不会因用户的权限的改变造成混乱;

④ 用户登陆密码是否是可见、可复制;

⑤ 是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统);

⑥ 用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。

2.系统网络安全的测试要考虑问题包括：

① 测试采取的防护措施是否正确装配好，有关系统的补丁是否打上;

② 模拟非授权攻击，看防护系统是否坚固;

③ 采用成熟的网络漏洞检查工具检查系统相关漏洞;

④ 采用各种木马检查工具检查系统木马情况;

⑤ 采用各种防外挂工具检查系统各组程序的客外挂漏洞。

3.数据库安全考虑问题：

① 系统数据是否机密(比如对银行系统，这一点就特别重要，一般的网站就没有太高要求);

② 系统数据的完整性;

③ 系统数据可管理性;

④ 系统数据的独立性;

⑤ 系统数据可备份和恢复能力(数据备份是否完整，可否恢复，恢复是否可以完整。

 

二、软件安全测试应注意哪些问题？

1.如何保护薄弱环节

攻击者往往设法攻击最易攻击的环节，这对于您来说可能并不奇怪。即便他们在您系统各部分上花费相同的精力，他们也更可能在系统最需要改进的部分中发现问题。这一直觉是广泛适用的，因此我们的安全性测试应侧重于测试最薄弱的部分。

如果执行一个好的风险分析，进行一次最薄弱环节的安全测试，标识出您觉得是系统最薄弱的组件应该非常容易，消除最严重的风险，是软件安全测试的重要环节。

 

2. 软件测试人员应具备纵深防御

纵深防御背后的思想是：使用多重防御策略来测试软件，以至少有一层防御将会阻止完全的黑客破坏。“保护最薄弱环节”的原则适用于组件具有不重叠的安全性功能。当涉及到冗余的安全性措施时，所提供的整体保护比任意单个组件提供的保护要强得多，纵深防御能力的测试是软件安全测试应遵循的原则。

3. 应及时保护故障

大量的例子出现在数字世界。经常因为需要支持不安全的旧版软件而出现问题。例如，比方说，该软件的原始版本十分“天真”，完全没有使用加密。现在该软件想修正这一问题，但已建立了广大的用户基础。此外，该软件已部署了许多或许在长时间内都不会升级的服务器。更新更聪明的客户机和服务器需要同未使用新协议更新的较旧的客户机进行互操作。该软件希望强迫老用户升级，没有指望老用户会占用户基础中如此大的一部分，以致于无论如何这将真的很麻烦。怎么办呢?让客户机和服务器检查它从对方收到的条消息，然后从中确定发生了什么事情。如果我们在同一段旧的软件“交谈”，那么我们就不执行加密。

4. 访问时间保持最小权力

最小特权原则规定：确定只授予执行操作所必需的最少访问权，并且对于该访问权只准许使用所需的最少时间。

当软件给出了某些部分的访问权时，一般会出现滥用与那个访问权相关的特权的风险。例如，我们假设您出去度假并把您家的钥匙给了您的朋友，好让他来喂养您的宠物、收集邮件等等。尽管您可能信任那位朋友，但总是存在这样的可能：您的朋友未经您同意就在您的房子里开派对或发生其它您不喜欢的事情。

5. 如何达到适度使用分隔

分隔背后的基本思想是如果我们将系统分成尽可能多的独立单元，那么我们可以将对系统可能造成损害的量降到最低。通常，如果攻击者利用了代码中的缓冲区溢出，对磁盘进行原始写并胡乱修改内核所在内存中的任何数据。没有保护机制能阻止他这样做。因此，系统进行适度的分隔显得十分重要，软件要能直接支持本地磁盘上永远不能被擦去的日志文件，这意味着直到攻击者闯入时，才不能保持精确的审计信息。适度使用的分隔，将利于系统的管理，但是对每一个功能都进行分隔，那么系统将很难管理。

 

三、检查安全隐患，排除非法入侵是软件测试的关键        

根据安全指标不同测试策略也不同，如果遵循相同的原则，去证明软件的安全性，将有利于软件安全测试的工作规范的进行，有利于软件安全测试工作的发展。安全测试检查系统对非法侵入的防范能力。安全测试期间，测试人员假扮非法入侵者，采用各种办法试图突破防线。例如，①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;③故意导致系统失败，企图趁恢复之机非法进入;④试图通过浏览非保密数据，推导所需信息，等等。理论上讲，只要有足够的时间和资源，没有不可进入的系统。因此系统安全设计的准则是，使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。

软件测试是软件开发的根本，是软件测试的基础，因此软件测试也是软件开发企业的核心技术，所以无论你是公司的程序员，公司的测试员，还是软件工程师掌握测试的基本原则的非常有必要的，西安软件开?发培训学校专业培训软件测试，软件开发，技术先进，师资雄厚，欢迎来电：