安全性和訪問控制測試側重於安全性的兩個關鍵方面是什麼|安全性和訪問控制測試怎麼寫

1） 應用程序級別的安全性，包括對數據或業務功能的訪問 2） 系統級別的安全性，包括對系統的登入或遠程訪問。

6.1 應用程序級別的安全性 可確保：在預期的安全性情況下，主角只能訪問特定的功能或用例，或者只能訪問有限的數據。例如，可能會允許所有人輸入數據，創建新帳戶，但只有管理員才能刪除這些數據或帳戶。

如果具有數據級別的安全性，測試就可確保“用戶類型一”能夠看到所有客戶消息（包括財務數據），而“用戶二”只能看見同一客戶的統計數據。 比如B/S系統，不透過登入頁面，直接輸入URL，看其是否能夠進入系統？ 6.2 系統級別的安全性 可確保只有具備系統訪問權限的用戶才能訪問應用程序，而且只能透過相應的網關來訪問。

針對應用安全（網站類型）

第一步 收集資訊，你需要了解，一般有多少個url地址及頁面、請求的情況等等（一般在你完成功能測試後，已經知道了）

第二步 分層檢查 簡單的來的話，分2層，頁面層，針對輸入框進行跨站、SQL注入等字元的進行檢查，這是比較常規的方式，在完成這個一個層面的檢查後，你可以針對請求層來進行檢查，一般問題是出在隱藏的傳遞屬性上，因爲，開發常規會對輸入的參數進行前後臺字元校驗，而對於默認的傳遞參數會忽略掉，而這就是漏洞的所在

第三步 猜測性測試，這種方法主要是針對服務中間件的測試，我們會根據IIS、weblogic、apache等應用中間件的默認響應頁面進行猜測，還有一些錯誤資訊頁面，比如黃頁中的資訊，這些都是應該避免

這樣的方式比較繁瑣和複雜，當然如果有相關的測試工具話 相對可以比較快捷一點，首先它能幫助我們完成資訊收集和第一輪的安全檢查，根據其的報告，我們可以深入的進行更深層次的安全檢查，提高我們的測試效率。

1. 對於“安全性”執行了哪些測試用例，爲什麼執行這些測試用例。

最好以表格或列表的形式給出清晰的測試用例分類。2. 對於“安全性”沒有執行哪些用例，爲什麼不執行這些用例不會增加風險。

3. 測試執行的結果，發現了哪些錯誤。最好給出錯誤數量、嚴重性分佈的定量數據和圖表。

4. 開發團隊對錯誤的修復結果。哪些修復了，哪些不予修復。

爲什麼那些不予修復的錯誤不會增加風險。5. 對當前版本“安全性”的主觀評估。

根據1~4的定量分析，可以得出哪些定性的結論？發佈當前版本，是沒有風險，有少量風險，還是有重大風險？總之，要表明測試了什麼、沒有測試什麼、測試結果、修復結果和測試團隊對發佈風險的評估。

概括了8個方面，這些都是要重點考慮的：

1. 正確的用戶名和密碼，包括是合法的字元和合法長度

2. 錯誤的用戶名，包括用戶名含有非法字元、長度過長、長度過短

3. 正確的用戶名和錯誤的密碼，包括非法字元、長度過長或過短

4. 用戶名和密碼都爲空

5. 正確的用戶名，密碼爲空

6. 任意的用戶名和密碼，包括正確的或錯誤的，也可以爲空

7. 檢查UI友好性

檢查登入介面設計是否合理，符合UI規範標準

介面符合習慣、美觀，按鈕對齊，輸入框對齊，無錯別字，字型大小協調，文字描述準確

8. 檢查安全性（SQL注入等）。

安全檢查記錄要清楚寫明以下幾點：

1、安全檢查的單位名稱，項目類型，具體檢查時間。

2、具體的檢查項目或者產品。包括種類、型號、使用年限、安全性能等。

3、具體參加檢查的人員名單，負責人簽名。

4、詳細的檢查記錄過程。

5、最後的檢查結論，意見或建議。

擴展資料：

安全檢查表項目分類如下：

1、設計審查用安全檢查表：

主要用於設計人員和安全監察人員及安全評價人員在設計審覈時，對企業生產性建設和技改工程項目進行設計審覈時使用。也可作爲“三同時'的安全預評價審覈的依據。其主要內容應包括：

1）平面佈置；

2）裝置、設備、設施工藝流程的安全性；

3）機械設備設施的可靠性；

4）主要安全裝置與設備、設施佈置及操作的安全性；

5）消防設施與消防器材；

6）防塵防毒設施、措施的安全性；

7）危險物質的儲存、運輸、使用；

8）通風、照明、安全通道等方面。

這些內容，要求系統、全面、明瞭，符合安全防護措施規範和標準，並按一定格式的要求列成表格。

2、企業（廠級）安全檢查表：

主要用於全廠性安全檢查和安全生產動態的檢查，爲安全監察部門進行日常安全檢查和24小時安全巡迴檢查時使用。其主要內容包括各生產設備設施裝置裝備的安全可靠性，各個系統的重點不安全部位和不安全點（源）；

1）主要安全設備、裝置與設施的靈敏性、可靠性；

2）危險物質的儲存與使用；

3）消防和防護設施的完整可靠性；

4）作業職工操作管理及遵章守紀等；

檢查要突出重點部位的危險因素源點及影響大的不安全狀態和不安全行爲，按一定格式要求列成表格。

3、各專業性安全檢查表：

主要用於專業性的安全檢查或特種設備的安全檢驗。如防火防爆、防塵防毒、防凍防凝。防暑降溫、壓力容器、鍋爐、工業氣瓶。配電裝置、起重設備、機動車輛、電氣焊等。檢查表的內容應符合專業安全技術防護措施要求。

如設備結構的安全性。設備安裝的安全性、設備執行的安全性及執行參數指標的安全性、安全附件和報警信號裝置的安全可靠性、安全操作的主要要求及特種作業入員的安全技術考覈等。按一定格式要求列成表格。