1. 功能验证
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。
2. 漏洞扫描
安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中做到“有的放矢”,及时修补漏洞。按常规标准,可以将漏洞扫描分为两种类型:主机漏洞扫描器(Host Scanner和网络漏洞扫描器(Net Scanner。主机漏洞扫描器是指在系统本地运
行检测系统漏洞的程序,如著名的COPS、Tripewire、Tiger等自由软件。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序,如Satan、ISS Internet Scanner等。
安全漏洞扫描是可以用于日常安全防护,同时可以作为对软件产品或信息系统进行测试的手段,可以在安全漏洞造成严重危害前,发现漏洞并加以防范。
3. 模拟攻击实验
对于安全测试来说,模拟攻击测试是一组特殊的黑盒测试案例,我们以模拟攻击来验证软件或信息系统的安全防护能力,下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。在下列各项中,出现了“授权”和“非授权”两个术语。“授权”意指“授予权力”,包含两层意思:这里的权力是指进行某种活动的权力(例如访问数据;这样的权力被授予某个实体、代理人或进程。于是,授权行为就是履行被授予权力(未被撤销的那些活动
??●?冒充:就是意个实体假装成一个不同的实体。冒充常与某些别的主动攻击形式一起使用,特别是消息的重演与篡改。例如,截获鉴别序列,并在一个有效的鉴别序
列使用过一次后再次使用。特权很少的实体为了得到额外的特权,可能使用冒充成具有这些特权的实体,举例如下。
1口令猜测:一旦黑客识别了一台主机,而且发现了基于NetBIOS、Telnet或NFS服务的可利用的用户帐号,并成功地猜测出了口令,就能对机器进行控制。
2缓冲区溢出:由于在很多地服务程序中大意的程序员使用类似于
“strcpy(,strcat(”不进行有效位检查的函数,最终可能导致恶意用户编写一小段程序来进一步打开安全缺口,然后将该代码放在缓冲区有效载荷末尾,这样,当发生缓冲区溢出时,返回指针指向恶意代码,执行恶意指令,就可以得到系统的控制权。
??●?重演:当一个消息或部分消息为了产生非授权效果而被重复时,出现重演。例如,一个含有鉴别信息的有效消息可能被另一个实体所重演,目的是鉴别它自己(把它当作其他实体。
??●?消息篡改:数据所传送的内容被改变而未被发觉,并导致非授权后果,如下所示。
1 DNS高速缓存污染:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以加入不正确得信息,并把用户引向黑客自己的主机。
2伪造电子邮件:由于SMTP并不对邮件发送者的身份进行鉴定,因此黑客可以对内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附上可安装的特洛伊木马程序,或者是一个指向恶意网站的链接。
服务拒绝:当溢个实体不能执行它的正常功能,或它的动作防碍了别的实体执行它们的正常功能的时候,便发生服务拒绝。这种攻击可能是一般性的,比如一个实体抑制所有的消息,也可能是有具体目标的。例如,一个实体抑制所有流向某一特定目的端的消息,如安全审计服务。这种攻击可以是对通信业务流的抑制,或产生额外的通信业务流。也可能制造出试图破坏网络操作的消息,特别是如果网络具有中继实
体,这些中继实体根据从别的中继实体那里接收到的状态报告,来做出路由选择的决定。拒绝服务攻击种类很多,举例如下。
1死亡之ping(ping of death:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都规定为
64KB,并且在读取包的标题后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的、声称自己的尺寸超过ICMP上限,也就是加载尺寸超过
64K上限的包时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。
2泪滴(Teardorop:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP 碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原
包的哪一段的信息,某些TCP/IP(包括Service Pack 4 以前的NT在收到含有重叠偏
移的伪造分段时将崩溃。
3 UDP洪水(UDP Flood:各种各样的假冒攻击利用简单的TCP/IP 服务,如Chargen和Echo 来传送毫无用处的数据以占满带宽。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这
样就生成在两台主机之间的足够多的无用数据流,如果数据流足够多,就会导致带宽的服务攻击。
4 SYN洪水(SYN Flood:一些TCP/IP栈的实现,只能等待从有限数量的计算机发来的ACK消息,因为它们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充
满了虚假连接的初始信息,该服务器就会对接下来的连接请求停止响应,直到缓冲区里的连接企图超时为止。在一些创建连接不受限制的实现里,SYN洪水也具有类似的影响。
5 Land攻击:在Land攻击中,一个特别打造的SYN包的原地址和目标地址都被设置成某一个服务器地址,这将导致接受服务器向它自己的地址发送SYN-ACK消息,结果,这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留,
直到超时。各种系统对Land攻击的反应不同,许多UNIX 实现将崩溃,NT变得极其缓慢(大约持续5分钟。
6 Smurf攻击:一个简单的Smurf攻击,通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping数据包,来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比“Ping of Death”洪水的流量高出一个或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
7 Fraggle攻击:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息,而非ICMP。
8电子邮件炸弹:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器,不断大量地向同一地址发送电子邮件,攻击者能够耗尽接收者网络的带宽。
9畸形消息攻击:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息时可能会崩溃。
??●?内部攻击:当系统的合法用户以非故意或非授权方式进行动作时就成为内部攻击。多数已知的计算机犯罪都和使系统安全遭受损害的内部攻击有密切的关系。能用来防止内部攻击的保护方法包括:所有管理数据流进行加密;利用包括使用强口令在内的多级控制机制和集中管理机制来加强系统的控制能力;为分布在不同场所的业务部门划分VLAN,将数据流隔离在特定部门;利用防火墙为进出网络的用户提供认证功能,提供访问控制保护;使用安全日志记录网络管理数据流等。
??●?外部攻击:外部攻击可以使用的方法有:搭线(主动的与被动的、截取辐射、冒充为系统的授权用户、冒充为系统的组成部分、为鉴别或访问控制机制设置旁路等。
??●?陷阱门:当系统的实体受到改变,致使一个攻击者能对命令或对预定的事件或事件序列产生非授权的影响时,其结果就称为陷阱门。例如,口令的有效性可能被修改,使得除了其正常效力之外也使攻击者的口令生效。
??●?特洛伊木马:对系统而言的特洛伊木马,是指它不但具有自己的授权功能,而且还有非授权功能。一个向非授权信道拷贝消息的中继就是一个特洛伊木马。典型的特洛伊木马有NetBus、BackOrifice和BO2k 等。
4. 侦听技术
侦听技术实际上是在数据通信或数据交互过程,对数据进行截取分析的过程。目前最为流行的是网络数据包的捕获技术,通常我们称为 Capture,黑客可以利用该项技术实现数据的盗用,而测试人员同样可以利用该项技术实现安全测试。该项技术主要用于对网络加密的验证。
------------------摘自《软件评测师教程》
功能验证采用黑盒测试方法,对涉及安全的软件功能进行测试
漏洞扫描采用主机或系统漏洞扫描器自动检测远程或本机安全性弱点
模拟攻击试验采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试
侦听技术对数据进行截取分析的过程,主要用于对网络加密的验证
总结的是不错。但如果是用来做Web Security Testing的话,就相差甚远了……就比如说,LZ可以分享一下您的Checklist,呵呵!
就目前来说,对于一个新的project,我们发现的最多的安全问题可能是XSS或者一些安全意识单薄的问题(比如登陆时密码错误的提示问题;由于我所在的公司用的.NET,所以暂时不考虑注入。
也希望大家能分享更多的安全测试方法,谢谢!
BTW,服务器的安全和代码的安全最好是分开,因为一个和IT相关,一个和DEV
相关;二者并不是一回事!
安全性测试规定 1.目的 是针对软件系统安全性,为防止对程序及数据的非授权的故意或意外访问进行检验的测试工作。其目的在于发现软件系统內部可能存在的各种差错,修改软件错误,提高软件质量。 2.实施细则 1.安全性测试的基本步骤 安全性测试活动主要包括 ?制定安全性测试计划并准备安全性测试用例和安全性测试规程; ?对照基线化软件和基线化分配需求及软件需求的文档,进行软件安全性测试; ?用文档记载在安全性测试期间所鉴别出的问题并跟踪直到结束; ?将安全性测试结果写成文档并用作为确定软件是否满足其需求的基础; ?提交安全性测试分析报告。 2.安全性测试方法从如下几方面考虑: ?文件操作权限检测 ?系统启动和关闭配置检测 ? Crontab安全检测 ?用户登录环境检测 ? FTP服务安全性检测
?检测可能的入侵征兆 ?远程登录安全性检测 ?非必需的帐号安全检测 ?用户安全检测 ?系统工具安全性检测 3.互操作性测试的结果分析 ?软件能力【经过测试所表明的软件能力。】 ?缺陷和限制【说明测试所揭露的软件缺陷和不足,以及可能给软件运行带来的影响。】 ?建议【提出为弥补上述缺陷的建议。】 测试结论【说明能否通过。】 互操作性测试规定 1.目的 是针对软件系统同其他指定系统进行交互的能力进行检验的测试工作。其目的在于发现软件系统內部可能存在的各种差错,修改软件错误,提高软件质量。 2.实施细则 1.互操作性测试的基本步骤 互操作性测试活动主要包括 ?制定互操作性测试计划并准备互操作性测试用例和互操作性测试规程;
?对照基线化软件和基线化分配需求及软件需求的文档,进行软件互操作性测试; ?用文档记载在互操作性测试期间所鉴别出的问题并跟踪直到结束; ?将互操作性测试结果写成文档并用作为确定软件是否满足其需求的基础; ?提交互操作性测试分析报告。 2.互操作性测试方法 ?根据软件需求设计需交互的系统的列表,然后分别搭建相应的测试环境。 ?测试本系统对需交互的某个系统的操作能力。 ?测试需交互的某个系统对本系统的操作能力。 3.互操作性测试的结果分析 ?软件能力【经过测试所表明的软件能力。】 ?缺陷和限制【说明测试所揭露的软件缺陷和不足,以及可能给软件运行带来的影响。】 适合性测试规定 1.目的 是针对软件系统与规定任务能否提供一组功能以及这组功能的适合程度进行检验的测试工作。其目的在于发现软件系统內部可能存在的各种差错,修改软件错误,提高软件适合程度。
常见包装袋密封性检测标准方法 包装袋广泛应用于食品包装以及药品包装的各个领域,以其包装成本经济、易于加工、易于控制、易于生产等优势而成为目前市场上极为普遍的一种包装形式,包装袋的密封性能、封口强度是包装袋质量的重要指标,其关乎着包装内容物的产品质量、保质期,同时也是产品流通环节的必要保障。 而在包装袋生产过程中由于众多因素的影响,可能会产生封合时的漏封、压穿或材料本身的裂缝、微孔,而形成内外连通的小孔。这些都会对包装内容物产生很不利的影响,特别是食品、医药包装、日化等行业,密封性将直接影响产品的质量。密封性不好是造成日后渗漏腐败的主要原因。其中风琴袋的包装特别是四层处最容易出现泄漏。广州标际对密封性测试的相关标准可见详表1:表1 密封性测试的有关标准 密封性测试具体方法各不相同,国内生产实践中常用GB/T 15171-1994标准。 1.着色液浸透法 这种方法通常用来检验空气含量极少的复合袋的密封性。方法如下:将试验液体(与滤纸有明显色差的着色水溶液)倒入擦净的试验样袋内,密封后将袋子平放在滤纸上,5min后观察滤纸上是否有试验液体渗漏出来,然后将袋子翻转,对其另一面进行测试。 2.水中减压法(真空法) 这种方法又包括真空泵法和真空发生器法,通常用来检验空气含量较多的复合袋。
(1)真空泵法 测试装置主要由透明耐压容器、样品架以及真空系统(真空泵、真空表等)组成。这种方法有如下缺点:形成真空的时间长,且不稳定;密封性能不好;压力为指针式显示,精度偏低。因此现在已逐步被淘汰。 (2)真空发生器法 这种方法目前在软包装行业内应用广泛,它利用射流原理,正压变负压形成稳定的空气源,高精度电子压力传感器实时显示测试容器内的真空度,微电脑自动控制,试验参数(真空度和保持时间)可随意设定,达到真空所需时间短,真空保持平稳,密封性能好。 3.测试步骤 根据GB/T 15171-1994软包装件的密封性能试验方法:在水的作用下,外层材料的性能在试验期间是否会发生变化,如外层采用塑料薄膜的包装外,可以通过对真空室抽真空,使浸在水中的试样产生内外压差,以观测试样内气体外逸或水向内渗入情况,以此判定试样的密封性能。 参照GB/T 15171-1994标准,在真空室内放入适量的蒸馏水,将包装袋浸入水中,袋子的顶端与水面的距离不得小于25mm.盖上真空室的密封盖,设置真空度,并保持30s。在此期间如有连续的气泡产生,则为漏气,孤立的气泡不视为泄漏。 需要说明的是,该设备的真空度数值0~-100Kpa可以设定,此外该设备还具有自动保压、补压功能,达到设定的压力后自动计时开始保压,保压时间到后如不漏气则为合格产品,若未达到设定的压力与时间即出现冒泡现象,则包装袋视为不合格,可手动泄压,打开密封盖,更换试样袋,重新设置真空度和保持时间。所设置的真空度值根据试样的特性(如所用包装材料、密封情况等)或按有关产品标准的规定确定,但不得因试样的内外压差过大使试样发生破裂或封口处开裂。 4. 泄漏常见原因及解决方法(见表2) 表2包装袋泄漏常见原因及解决方法
胶带保持力和胶黏剂类产品粘力保持力测试试验方法以及 使用仪器 1 概述 本产品按照中华人民共和国国家标准GB/T4851-1998之规定制造,适用于压敏胶粘带等产品进行持粘性测试试验。 1.1 工作原理:把贴有试样的试验板垂直吊挂在试验架上,下端挂规定重量的砝码,用一定时间后试样粘脱的位移量或试样完全脱离所需的时间来测定胶粘带抵抗拉脱的能力。 1.2 仪器结构:主要由计时机构、试验板、加载板、砝码、机架及标准压辊等部分构成。 1.3 技术指标:砝码—1000±10g(含加载板重量) 试验板—60(L)*40(B)*1.5(D)mm(与加载板相同) 压辊荷重:2000±50g 橡胶硬度:80°±5°(邵尔硬度) 计时器—99小时59分钟60秒 工位—6工位 净重—12.5kg 电源—220V 50Hz 外形尺寸—600(L)*240(B)*400(H)mm 2操作方法 2.1水平放置仪器,打开电源开关,并将砝码放置在吊架下方槽内。
2.2不使用的工位可按“关闭”键停止使用,重新计时可按“开启/清零”键。 2.3 除去胶粘带试卷最外层的3~5 圈胶粘带后,以约300 mm/min的速率解开试样卷(对片状试样也以同样速率揭去其隔离层),每隔200mm左右,在胶粘带中部裁取宽25 mm,长约100 mm的试样。除非另有规定,每组试样的数量不少于三个。 2.4 用擦拭材料沾清洗剂擦洗试验板和加载板,然后用干净的纱布将其仔细擦干,如此反复清洗三次。以上,直至板的工作面经目视检查达到清洁为止。清洗以后,不得用手或其他物体接触板的工作面。 2.5 在温度23℃±2℃,相对湿度65%±5%的条件下,按图2规定的尺寸,将试样平行于板的纵向粘贴在紧挨着的试验板和加载板的中部。用压辊以约300 mm/min的速度在试样上滚压。注意滚压时,只能用产生于压辊质量的力,施加于试样上。滚压的次数可根据具体产品情况加以规定,如无规定,则往复滚压三次。 2.6 试样在板上粘贴后,应在温度 23℃±2℃,相对湿度 65%±5%的条件下放置20 min。然后将试验。板垂直固定在试验架上,轻轻用销子连接加载板和砝码。整个试验架置于已调整到所要求的试验环境下的试验箱内。记录测试起始时间。 2.7 到达规定时间后,卸去重物。用带分度的放大镜测出试样下滑的位移量,精确至0.1mm;或者记录试样从试验板上脱落的时间。时间数大于等于1h的,以min为单位,小于1h的以s为单位。 3 试验结果处理 试验结果以一组试样的位移量或脱落时间的算术平均值表示。
安全性测试方法 集团标准化工作小组 #Q8QGGQT-GX8G08Q8-GNQGJ8-MHHGN#
1.功能验证 功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。 2.漏洞扫描 安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中做到“有的放矢”,及时修补漏洞。按常规标准,可以将漏洞扫描分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Net Scanner)。主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序,如着名的COPS、Tripewire、Tiger等自由软件。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序,如Satan、ISS Internet Scanner等。 安全漏洞扫描是可以用于日常安全防护,同时可以作为对软件产品或信息系统进行测试的手段,可以在安全漏洞造成严重危害前,发现漏洞并加以防范。 3.模拟攻击实验 对于安全测试来说,模拟攻击测试是一组特殊的黑盒测试案例,我们以模拟攻击来验证软件或信息系统的安全防护能力,下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。在下列各项中,出现了“授权”和“非授权”两个术语。“授权”意指“授予权力”,包含两层意思:这
里的权力是指进行某种活动的权力(例如访问数据);这样的权力被授予某个实体、代理人或进程。于是,授权行为就是履行被授予权力(未被撤销)的那些活动 冒充:就是意个实体假装成一个不同的实体。冒充常与某些别的主动攻击形式一起使用,特别是消息的重演与篡改。例如,截获鉴别序列,并在一个有效的鉴别序列使用过一次后再次使用。特权很少的实体为了得到额外的特权,可能使用冒充成具有这些特权的实体,举例如下。 1)口令猜测:一旦黑客识别了一台主机,而且发现了基于NetBIOS、Telnet或NFS服务的可利用的用户帐号,并成功地猜测出了口令,就能对机器进行控制。 2)缓冲区溢出:由于在很多地服务程序中大意的程序员使用类似于“strcpy(),strcat()”不进行有效位检查的函数,最终可能导致恶意用户编写一小段程序来进一步打开安全缺口,然后将该代码放在缓冲区有效载荷末尾,这样,当发生缓冲区溢出时,返回指针指向恶意代码,执行恶意指令,就可以得到系统的控制权。 重演:当一个消息或部分消息为了产生非授权效果而被重复时,出现重演。例如,一个含有鉴别信息的有效消息可能被另一个实体所重演,目的是鉴别它自己(把它当作其他实体)。 消息篡改:数据所传送的内容被改变而未被发觉,并导致非授权后果,如下所示。
一、检验项目:原材料的线性成品线性 二、定义:量测待测物(以下简称为试片)测量电压值与理论电压值的误差 三、适用范围:本标准检验方法适用于公司所有须做线性测试之试片。 四、目的:本实验的目的在测试试片的导电情形是否良好。 五、检验方法: Ⅰ、方法一(适用于纳米银导电材料) 1. 样品准备:SNWFilm 2. 使用装置:激光机、万用表、稳压电源 3. 测量原理 a)在导电膜上刻上电极(宽度10mm),给电极加5V(DC)电压,然后用电压表测量待测 位置的电压,如图1所示 b)按图2所示分好测试点,(长220mm、23个测试点)A点、B点电压在所示位置取 得,10mm为距离测一个点 c)测量参数:E A:输出电压测量起点A处的电压 E B:输出电压测量终点B处的电压 E X:输出电压测量任意点X处的电压 E XX:理论计算电压 L:线性 计算公式: E XX(理论电压)=E AB*X/(B-A)+ E A L(%)= (︱E XX- E X︱)÷(E B- E A)×100 图 1
图 2 V A(0) mm 5V 0V EB 图 3 4. 操作步骤: a) 设计图纸,开好材料,覆膜 b) 激光镭射 c) 将稳压电源调至ON ,电压调至5V 。 d) 将稳压电源正极夹至右边银棒、负极夹至左边银棒。 e) 将万用表表负极夹至右边银棒,正极拿来测试。 f) 将试片置入定位,开始测试并记录分压值。 g) 将所测得之电压值输入表(一)~表(五),计算其线性。 Ⅱ、方法二(适用于成品) 1. 样品准备:成品
2. 使用仪器:线性测试机 3. 测量原理及要求 ※线性度的定义:当施加DC 5V在“X”方向电极和“Y”方向电极时,用笔(Special stylus)压点(X,Y)以得到各自输出电压(E OX,E OY)。如Fig.1(测量关系)。在A和B的区域内(Active area),在X,Y方向各以2mm为间隔划直线。如Fig2。 ※注:线性测量范围:A.A区边缘单边内缩2mm。 测量关系 测 量 Y 坐 标 Y (X+电极) Vcc (Y+电极) 测量X坐标 X Fig 2 ※计算公式:V XX(理论电压)=V AB*X/(B-A)+ V A L(%)= (︱V XX- V X︱)÷(V B- V A)×100 V A:输出电压测量起点A处的电压 V B:输出电压测量终点B处的电压 V X:输出电压测量任意点X处的电压 V XX:理论计算电压 L:线性 4. 操作步骤:见作业指导书 六、检验数据处理: 1、表(一):分压表&线性表。 2、表(二):线性错误及异常对照表。 3、表(三):线性错误及异常统计表。 4、表(四):平均线性分析图。 5、表(五):平均电压分析图。
药用输液袋密封性能测试方案 发布时间:2015/6/16 摘要:药用输液袋大多采用聚烯烃、聚酰胺树脂原料共挤形成的复合膜作为包装材料,其具有极高的卫生安全性、无析出颗粒、高阻隔性、不易破裂等优点,但其密封性好坏是最影响药液质量、破坏无菌环境的性能指标。本文采用Labthink兰光自主研发的MFY-01密封试验仪检测输液袋的密封性能,并详述了该仪器的测试原理及试验详细过程,从而为制药企业等行业在对输液袋等包装密封性能的监控提供参考。 关键词:输液袋、药用、软塑包装、密封性能、密封试验仪、泄漏、漏气、气泡 1、意义 药用输液袋包括聚氯乙烯(PVC)材质及非PVC复合膜材质,目前大多使用非PVC复合膜材质的三层或五层共挤复合膜,其主要材质为聚丙烯(PP)、聚乙烯(PE)、聚酰胺(PA)及多种弹性材料(SEBS),是目前最安全的输液包装材料之一,不含任何增塑剂,自身与药液之间无任何反应及吸附现象,摒除了玻璃瓶的析碱问题,抗低温性好,是一种优质的材质。 质量良好的药用输液袋应不易破裂,其阻气性与阻水性高,内部药液不易变质或泄露,可满足高要求的无菌环境。但药用输液袋是依靠热封将其四周各封边密封,而热封过程中易出现热封参数设置不合适导致热封不严密或热封过度,例如热封温度过高则引起封边根部易断裂或漏气,抑或热封刀表面不平整导致封边褶皱含有未密封贴合的泄漏点。倘若输液袋的密封性不好,则外界环境中水蒸气、氧气等气体则易渗入输液袋内部,引起细菌侵入,导致药液变质及氧化,甚至在运输或使用过程中出现泄漏。本文采用专业的密封性能测试仪向相关制药生产企业介绍有关输液袋密封性能的测试方案。 图1 药用输液袋包装 2、标准 目前,软塑包装的密封性能试验主要参考GB/T 15171-1994《软包装件密封性能试验方法》,该标准适用于各种材料制成的密封软包装件的密封性能试验。 3、试验样品 某品牌输液袋成品包装。
插拔力测试仪简介和操作方法 一、概述 GH-951C插拔力测试仪试验装臵适合连接器、插头插座等接插件产品作插入、拔出之力量及抗疲劳寿命测试。搭配专利设计之自动求心装臵,将可得到完全准确之插拔力试验,利用Windows 视窗中文画面设定,操作简单方便,且所有资料皆可储存( 试验条件、位移、曲线图、寿命曲线图、检查报表等)解决各种连接器测试的夹具问题及测试时公母连接器能自动对准,不会有吃单边的问题。搭配动态阻抗测试系统,可在测试插拔力同时测试动态阻抗并绘制(荷重行程-阻抗曲线图)。 二、主要技术参数 1、测定最大荷重:50Kg,20Kg,5Kg,2Kg 2、最小分解能力:0.01Kg或1g 3、最大测定高度:150mm 4、最小微调距离:0.01mm 5、测定速度范围:0-200mm/min 6、X轴移动范围:0-75mm 7、Y轴移动范围:0-75mm 8、传动机构:丝杆传动 9、驱动马达:伺服马达 10、外观尺寸:360×260×940mm 11、重量:约60Kg 12、电源:220V/50Hz 三、功能
本机主要用于测试公插从母插拔出时所需最大的力及插入时最小的力。本机配臵力量数显表。以具体数值显示力的大小。 四、设备特点 1、测试条件皆由电脑画面设定,并可储存。由下拉式菜单勾选设定或直接输入数据。(含试验类别、测定运动方向、荷重测定范围、行程测定范围、行程原点位臵、行程原点检出、测定速度、测定总次数、暂停时间每次等候位臵、空压次数等)。 2、可储存及打印图形(荷重-行程曲线图-荷重衰减寿命曲线图-检验报表)荷重元超负载之保护功能、可确保荷重元不致损坏。 3、同时显示荷重-行程曲线图及寿命曲线图。 4、自动荷重零点检出,并可设定原点检出荷重值。 5、荷重单位显示:N、lb、gf、Kgf可自由切换。 6、可同时搭配数个荷重元(2Kgf/5Kgf/20Kgf/50Kgf选购)。 7、机台采用高钢性结构设计,搭配伺服马达,长时间使用下能确保精度,适合一般引张压缩测试及插拔力寿命测试。 8、超规格值停止(于寿命测试时,测试数据超出设定上下限值时机器自动停止。 9、测定项目:最大荷重值、峰值、谷值、行程之荷重值、荷重之行程值插入点电阻值、荷重或行程之电阻值。 五、测试项目 1、连接器单孔插拔试验 2、连接器插拔寿命试验 3、连接器Normal Force 测试 4、连接器整排插拔试验 5、连接器单Pin与塑胶保持力试验 6、可同时与接触阻抗机连线(选购) 7、各种压缩、拉伸破坏强度试验。 六、操作方法 1、检视输入电压是否220V。
web安全测试
————————————————————————————————作者:————————————————————————————————日期:
Web安全测试——手工安全测试方法及修改建议发表于:2017-7-17 11:47 作者:liqingxin 来源:51Testing软件测试网采编 字体:大中小 | 上一篇 | 下一篇 | 打印 |我要投稿 | 推荐标签:软件测试工具XSS安全测试工 具 常见问题 1.XSS(CrossSite Script)跨站脚本攻击 XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。 测试方法: 在数据输入界面,添加记录输入:,添加成功如果弹出对话框,表明此处存在一个XSS 漏洞。 或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞 修改建议: 过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。 Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤 2.CSRF与跨站脚本(XSS) CSRF与跨站脚本(XSS),是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。
1.阀门在总装完成后必须进行性能试验,以检查产品是否符合设计要求和是否达到国家所规定的质量标准。阀门的材料、毛坯、热处理、机加工和装配的缺陷一般都能在试验过程中暴露出来。 常规试验有壳体强度试验、密封试验、低压密封试验、动作试验等,并且根据需要,依次序逐项试验合格后进行下一项试验。 2.强度试验: 阀门可看成是受压容器,故需满足承受介质压力而不渗漏的要求,故阀体、阀盖等零件的毛坯不应存在影响强度的裂纹、疏松气孔、夹渣等缺陷。阀门制造厂除对毛坯进行外表及内在质量的严格检验外,还应逐台进行强度试验,以保证阀门的使用性能。 强度试验一般是在总装后进行。毛坯质量不稳定或补焊后必须热处理的零件,为避免和减少因试验不合格而造成的各种浪费,可在零件粗加工后进行中间强度试验(常称为毛泵)。经中间强度试验的零件总装后,如用户未提出要求,阀门可不再进行强度试验。苏阀为了保证质量,在中间强度试验后,阀门都全部最后再进行强度试验。 试验通常在常温下进行,为确保使用安全,试验压力P一般为公称压力PN 的~倍。试验时阀门处于开启状态,一端封闭,从另一端注入介质并施加压力。检查壳体(体、盖)外露表面,要求在规定的试验持续时间(一般不小于10分钟)内无渗漏,才可认为该阀门强度试验合格。为保证试验的可靠性,强度试验应在阀门涂漆前进行,以水为介质时应将内腔的空气排净。 渗漏的阀门,如技术条件允许补焊的可按技术规范进行补焊,但补焊后必须重新进行强度试验,并适当延长试验持续时间。 3.密封试验: 除节流阀外,无论是切断用阀还是调节用阀,均应具有一定的关闭密封性,故阀门出厂前需逐台进行密封试验,带上密封的阀门还要进行上密封试验。
DKBA 华为技术有限公司内部技术规范 DKBA Web应用安全测试规范 2009年7月5日发布2009年7月5日实施华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有侵权必究 All rights reserved
修订声明Revision declaration 本规范拟制与解释部门: 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件: 《Web应用安全开发规范》 相关国际规范或文件一致性: 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《Information technology Security techniques Management of information and communications technology security》-ISO 13335 替代或作废的其它规范或文件: 无 相关规范或文件的相互关系: 本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。
目录Table of Contents 1概述错误!未定义书签。 背景简介错误!未定义书签。 适用读者错误!未定义书签。 适用范围错误!未定义书签。 安全测试在IPD流程中所处的位置错误!未定义书签。 安全测试与安全风险评估的关系说明错误!未定义书签。 注意事项错误!未定义书签。 测试用例级别说明错误!未定义书签。 2测试过程示意图错误!未定义书签。 3Web安全测试规范错误!未定义书签。 自动化Web漏洞扫描工具测试错误!未定义书签。 AppScan application扫描测试错误!未定义书签。 AppScan Web Service 扫描测试错误!未定义书签。 服务器信息收集错误!未定义书签。 运行帐号权限测试错误!未定义书签。 Web服务器端口扫描错误!未定义书签。 HTTP方法测试错误!未定义书签。 HTTP PUT方法测试错误!未定义书签。 HTTP DELETE方法测试错误!未定义书签。 HTTP TRACE方法测试错误!未定义书签。 HTTP MOVE方法测试错误!未定义书签。 HTTP COPY方法测试错误!未定义书签。 Web服务器版本信息收集错误!未定义书签。 文件、目录测试错误!未定义书签。 工具方式的敏感接口遍历错误!未定义书签。 Robots方式的敏感接口查找错误!未定义书签。 Web服务器的控制台错误!未定义书签。 目录列表测试错误!未定义书签。 文件归档测试错误!未定义书签。 认证测试错误!未定义书签。 验证码测试错误!未定义书签。 认证错误提示错误!未定义书签。 锁定策略测试错误!未定义书签。 认证绕过测试错误!未定义书签。 找回密码测试错误!未定义书签。 修改密码测试错误!未定义书签。 不安全的数据传输错误!未定义书签。 强口令策略测试错误!未定义书签。 会话管理测试错误!未定义书签。 身份信息维护方式测试错误!未定义书签。 Cookie存储方式测试错误!未定义书签。 用户注销登陆的方式测试错误!未定义书签。 注销时会话信息是否清除测试错误!未定义书签。 会话超时时间测试错误!未定义书签。
1 Web 安全测试技术方案 1.1测试的目标 更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件 更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围 本期测试服务范围包含如下各个系统: Web 系统: 1.3测试的内容 1.3.1WEB 应用 针对网站及WEB 系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 RSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证逻辑错误 GoogleHacAing 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP
方法(如:PUT、DELETE) 1.4测试的流程 方案制定部分:获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS 、burpsuite 、Nmap 等)进行收集。 测试实施部分:在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web 应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普
TP 线性度测试 一:线性度定义 备注: △ Ymax :输出平均值与最佳直线问的最大偏差 Ymax-Ymin :传感器的量程,是测量上限(高端)和测量下限(低端)的代数差 ? 以电阻屏为例:电阻式TP 由上下两个导电层构成,其等效电阻为Rx 、Ry 。测试时,先给X 向加基准 电压5V ,测试Y 向电压。因为触摸压力使两个导电层接触,通过计算测量Y 向电压就可以解析出触点Y 向基于相对零点的偏移量。同理可以测得X 向基于相对零点的偏移量。 在线性度测试中,根据所选定参考直线的不同,可获得不同的线性度 在不同衡量标准中,独立线性度足衡量线性特性的最客观标准(以最佳直线作为参考直线) 独立线性度定义为实际平均输 特性曲线对最佳直线的最大偏差,以满量程输出的分比来表示 Xmax-Xmin Lx=± △Xmax X 100% Ymax-Ymin Ly=± △Ymax X 100% Ymax Ymi Xmi Xma
二:测试原理 测试接触点的选择:在测试触摸屏线性度时,为了能够精确反应触摸屏的整体特性,需要选取尽量多的测 点。然而,对于测试时间与效率而言,希望选取尽量少的测试点。因此,在精度和效率之间需要选取一个平衡点。 线性度:支持并行线、垂直线、对角线、圆弧等多种图像来检测产品的线性偏差,可在测试区域内任意设 臵线距、线数及弧度大小,并支持两点同时划线、两点划圆等多种测试方式,达到更精确的体现产品特性; 灵敏度:可设定不同的划线轨迹,实现接触式划线或非接触式划线,触笔离产品的高度可按设定调节,并 能自动找出触控高度 在实际应用中,常用两个步进电机作为驱动装臵实现一个二维定位系统控制测试笔在触摸屏上打点,实现 测试的输入。 根据接触点输入集P (P1,P2,P2……….Pn-1,Pn )与输出集T (T1,T2,T3……Tn-1,Tn )中对应点的最大偏差 值即可求出整块屏的线性度 测试点分布示意 测试区域定位图
DKBA DKBA 2355-2009.7 .2cto.红黑联盟收集整理 Web应用安全测试规V1.2 2009年7月5日发布2009年7月5日实施 所有侵权必究 All rights reserved
修订声明Revision declaration 本规拟制与解释部门: 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部 本规的相关系列规或文件: 《Web应用安全开发规》 相关国际规或文件一致性: 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《Information technology Security techniques Management of information and communications technology security》-ISO 13335 替代或作废的其它规或文件: 无 相关规或文件的相互关系: 本规以《Web应用安全开发规》为基础、结合Web应用的特点而制定。
目录Table of Contents 1概述 (7) 1.1背景简介 (7) 1.2适用读者 (7) 1.3适用围 (7) 1.4安全测试在IPD流程中所处的位置 (8) 1.5安全测试与安全风险评估的关系说明 (8) 1.6注意事项 (9) 1.7测试用例级别说明 (9) 2测试过程示意图 (10) 3WEB安全测试规 (11) 3.1自动化W EB漏洞扫描工具测试 (11) 3.1.1AppScan application扫描测试 (12) 3.1.2AppScan Web Service 扫描测试 (13) 3.2服务器信息收集 (13) 3.2.1运行权限测试 (13) 3.2.2Web服务器端口扫描 (14) 3.2.3HTTP方法测试 (14) 3.2.4HTTP PUT方法测试 (15) 3.2.5HTTP DELETE方法测试 (16) 3.2.6HTTP TRACE方法测试 (17) 3.2.7HTTP MOVE方法测试 (17) 3.2.8HTTP COPY方法测试 (18) 3.2.9Web服务器版本信息收集 (18) 3.3文件、目录测试 (20) 3.3.1工具方式的敏感接口遍历 (20) 3.3.2Robots方式的敏感接口查找 (21)
1 安全测试检查点 1.1网页安全检查点 1.1.1输入的数据没有进行有效的控制和验证 1)数据类型(字符串,整型,实数,等) 2)允许的字符集 3)最小和最大的长度 4)是否允许空输入 5)参数是否是必须的 6)重复是否允许 7)数值范围 8)特定的值(枚举型) 1.1.2用户名和密码 1)检测接口程序连接登录时,是否需要输入相应的用户 2)是否设置密码最小长度(密码强度) 3)用户名和密码中是否可以有空格或回车? 4)是否允许密码和用户名一致 5)防恶意注册:可否用自动填表工具自动注册用户? 6)遗忘密码处理 7)有无缺省的超级用户? 8)有无超级密码? 9)是否有校验码? 10)密码错误次数有无限制? 11)大小写敏感? 12)口令不允许以明码显示在输出设备上 13)强制修改的时间间隔限制(初始默认密码) 14)口令的唯一性限制(看需求是否需要) 15)口令过期失效后,是否可以不登陆而直接浏览某个页面 16)哪些页面或者文件需要登录后才能访问/下载 17)cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息
1.1.3直接输入需要权限的网页地址可以访问 避免研发只是简单的在客户端不显示权限高的功能项 举例Bug: 1)没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面), 能直接打开页面; 2)注销后,点浏览器上的后退,可以进行操作。 3)正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。 4)通过Http抓包的方式获取Http请求信息包经改装后重新发送 5)从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面, 这就是错误的) 1.1.4上传文件没有限制 1)上传文件还要有大小的限制。 2)上传木马病毒等(往往与权限一起验证) 3)上传文件最好要有格式的限制; 1.1.5不安全的存储 1)在页面输入密码,页面应显示“*****”; 2)数据库中存的密码应经过加密; 3)地址栏中不可以看到刚才填写的密码; 4)右键查看源文件不能看见刚才输入的密码; 5)帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表, 推荐使用某种形式的假名(屏幕名)来指向实际的帐号 1.1.6操作时间的失效性 1)检测系统是否支持操作失效时间的配置,同时达到所配置的时间内没有对界面进行 任何操作时,检测系统是否会将用户自动失效,需要重新登录系统。 2)支持操作失效时间的配置。 3)支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。 如,用户登陆后在一定时间内(例如15 分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
传感器线性度的概念及表示方法 1传感器线性度的概念 线性度是描述传感器静态特性的一个重要指标,以被测输入量处于稳定状态为前提。 线性度又称非线性,表征传感器输出—输入校准曲线(或平均校准曲线)与所选定的作为工作直线的拟合直线之间的偏离程度。这一指标通常以相对误差表示如下。 %100.max ??±=S F L y L ξ (1) 式中:max L ?——输出平均校准曲线与拟合直线间的最大偏差; S F y .——理论满量程输出。 由式(1)可见,拟合直线是获得相应的线性度的基础,选择的拟合直线不同,max L ?不同,计算所得的线性度数值也就不同。 2线性度表示方法 线性度表示方法很多,一般常用的有以下四种方法。 2.1理论直线法 理论直线法是以传感器的理论特性直线作为拟合直线,与传感器被测输出值无关。 例如:在一个标准大气压力试验条件下,设定被测温度传感器下限值为0℃,上限值为100℃,以测量范围为0℃~100℃的二等标准水银温度计作为标准计量器具,不管温度标定试验级数如何确定,均以标准水银温度计示值作为拟合直线,即试验各温度测试点温度传感器计算温度值均直接与该测试点标准水银温度计示值进行比较,从中获取max L ?,max L ?值即为被测温度传感器线性误差,暂名之以“理论线性度”。理论直线法示意见图1。 图1 理论直线法示意图 0 y x
2.2最佳直线法 通过图解法或计算机辅助解算,获得一条“最佳直线”,使得传感器正反行程校准曲线相对于该直线的正、负偏差相等且最小,如图2所示。由此所得的线性度称为“独立线性度”。 2.3端点直线法 以传感器校准曲线两端点间的连线作为拟合直线,这种方法可为称之为端点直线法,端基直线法,相应地线性度称之为端点线性度或端基线性度。端点直线法示意见图3。 图3 端点直线法示意图 端点直线法拟合直线方程为: kx b y += (2) 2.4最小二乘直线法 利用最小二乘原理获取拟合直线的方法称为最小二乘直线法。这种方法的基本原理是使传感器校准数据的残差的平方和最小。 最小二乘法拟合直线以式(2)表示,设定传感器校准测试点为n ,第i 个标准数据i y 的残差i ?为: )(i i i kx b y +-=? (3) 按最小二乘法原理,应使∑=?n i i 12 最小。因此,以∑=?n i i 12 分别对b 和k 求一阶偏0 x y 0
泡罩包装密封性能监控方案 摘要:泡罩包装是由塑料硬片与药用铝箔通过热封工艺形成的包装形式,泡罩包装的密封性能是一项极为重要的性能指标,对所包装药品的质量具有重要影响。本文利用MFY-01密封试验仪检测泡罩包装的密封性能,并介绍了设备的测试原理,叙述了试验的基本过程,从而为企业对泡罩包装密封性能的监控提供参考。 关键词:泡罩包装、水泡包装、PTP包装、医药、密封性能、密封试验仪、漏气、气泡 1、意义 随着药品包装形式的优胜劣汰,泡罩包装以其保护性好、使用方便、质量轻便等优点已成为目前药品包装市场的重要组成部分。泡罩包装,又称水泡包装、PTP包装,主要由两部分组成,分别为带有水泡眼的塑料硬片、药用铝箔。包装时,将药品放入硬片的水泡眼中,然后与药用铝箔进行热封,从而形成了各水泡眼相互独立的泡罩包装。由于泡罩包装其中一个水泡眼的破坏并不会对其他水泡眼的完整性产生影响或产生较小影响,故每个水泡眼自身的密封完整性就显的尤为重要。若泡罩包装的密封性较差,则外界环境中水蒸气、氧气等气体就会沿着密封较差处,渗透进包装内部,引起药品出现潮解、变色等现象。 图1 泡罩包装 2、标准 目前,密封性能试验主要是参考GB/T 15171-1994《软包装件密封性能试验方法》,该标准适用于各种材料制成的密封软包装件的密封性能试验。 3、试验样品 某品牌颗粒状药品包装用泡罩包装。
4、试验设备 本文采用密封试验仪测试泡罩包装样品的密封性能。 图2 MFY-01密封试验仪 4.1试验原理 本设备是采用压差法测试原理研发。试验时,样品置于密封罐的水中,通过对密封罐内部抽真空,使浸在水中样品的内外产生压差,若样品的密封性较差,在压差的作用下,样品内部的气体会沿样品表面的密封薄弱处向外部溢出,在水中表现为样品表面有连续的气泡产生,或者通过观察样品膨胀及释放真空后形状的恢复情况,判断样品的密封性能。 4.2 适用范围 ●本设备适用于食品、制药、医疗器械、日化、汽车、电子元器件、文具等行业的包装袋、 瓶、管、罐、盒等的密封性能测试,包括玻璃类、塑料类、金属材料类等。适用于跌落、耐压等试验后,试样密封性能的测试。 ●本设备符合多项国家和国际标准,如GB/T 15171、ASTM D3078等。 4.3设备参数 ●真空度为0 ~ -90 KPa。 ●真空室的有效尺寸有3种可供选择,分别为270 mm (直径) × 210 mm (高度)、360 mm (直径) × 585 mm (高度) 、460 mm (直径) × 330 mm (高度)。 ●系统采用数字预置试验真空度及真空保持时间,确保测试数据的准确性。 ●自动恒压补气技术进一步确保测试能够在预设的真空条件下进行。
精品文档 1 Web安全测试技术方案 1.1 测试的目标更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件更好的为今 后系统建设提供指导和有价值的意见及建议 1.2 测试的范围 本期测试服务范围包含如下各个系统: Web系统: 1.3 测试的内容 1.3.1 WEB^ 用 针对网站及WEB系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 XSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证 逻辑错误 Google Hacking 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP 方法(如:PUT、DELETE) 1.4 测试的流程 方案制定部分: 精品文档 获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:
这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS burpsuite、Nmap等)进行收集。 测试实施部分: 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出: 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图: 精品文档 1.5 测试的手段 根据安全测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了自动化测试过程中的误报问题。
一、安全性测试 定义:安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。 二、测试范围 正式环境: 1.发布前需要对发布包进行一次杀毒。 2.服务器需要安装杀毒软件并且定期更新和杀毒。 3.服务器和数据库等密码需要满足一定的复杂度。 功能类: 1.认证模块必须采用防暴力破解机制。例如:验证码或者多次连续尝试登录失败后锁定帐号或IP,账号冻结后,管理员可以手动解冻。 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。 3.登录过程中,往服务器端传递用户名和口令时,必须采用HTTPS安全协议(也就是带服务器端证书的SSL)。 4.用户产生的数据必须在服务端进行校验。 5.所有非查询的操作必须有日志记录。 6.密码需要满足一定的长度和复杂度,并且以高级的加密方法保存在数据库。 7.口令在传输的过程中以密文的形式传输。 8.输入密码时密码不能明文回显。输入密码不接受拷贝功能。 9.修改密码时需要验证旧密码。 10.日志中的密码不能以明文显示。 11.超时验证。 攻击类: SQL注入: 通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 测试方法: a验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误。 例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是 user=request("user") passwd=request("passwd") sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&''' 那么我使用'or 'a'='a来做用户名密码的话,那么查询就变成了 select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a' 根据运算规则,这里一共有4个查询语句,那么查询结果就是:假or真and假or真,先算and 再算or,最终结果为真,这样就可以进到后台了 b猜数据库的表名、列名 猜表名 And (Select count(*) from 表名)<>0 猜列名