安全性和访问控制测试怎么写 安全性和访问控制测试侧重于安全性的两个关键方面是什么

1） 应用程序级别的安全性，包括对数据或业务功能的访问 2） 系统级别的安全性，包括对系统的登录或远程访问。

6.1 应用程序级别的安全性 可确保：在预期的安全性情况下，主角只能访问特定的功能或用例，或者只能访问有限的数据。例如，可能会允许所有人输入数据，创建新账户，但只有管理员才能删除这些数据或账户。

如果具有数据级别的安全性，测试就可确保“用户类型一”能够看到所有客户消息（包括财务数据），而“用户二”只能看见同一客户的统计数据。 比如B/S系统，不通过登入页面，直接输入URL，看其是否能够进入系统？ 6.2 系统级别的安全性 可确保只有具备系统访问权限的用户才能访问应用程序，而且只能通过相应的网关来访问。

针对应用安全（网站类型）

第一步 收集信息，你需要了解，一般有多少个url地址及页面、请求的情况等等（一般在你完成功能测试后，已经知道了）

第二步 分层检查 简单的来的话，分2层，页面层，针对输入框进行跨站、SQL注入等字符的进行检查，这是比较常规的方式，在完成这个一个层面的检查后，你可以针对请求层来进行检查，一般问题是出在隐藏的传递属性上，因为，开发常规会对输入的参数进行前后台字符校验，而对于默认的传递参数会忽略掉，而这就是漏洞的所在

第三步 猜测性测试，这种方法主要是针对服务中间件的测试，我们会根据IIS、weblogic、apache等应用中间件的默认响应页面进行猜测，还有一些错误信息页面，比如黄页中的信息，这些都是应该避免

这样的方式比较繁琐和复杂，当然如果有相关的测试工具话 相对可以比较快捷一点，首先它能帮助我们完成信息收集和第一轮的安全检查，根据其的报告，我们可以深入的进行更深层次的安全检查，提高我们的测试效率。

1. 对于“安全性”执行了哪些测试用例，为什么执行这些测试用例。

最好以表格或列表的形式给出清晰的测试用例分类。2. 对于“安全性”没有执行哪些用例，为什么不执行这些用例不会增加风险。

3. 测试执行的结果，发现了哪些错误。最好给出错误数量、严重性分布的定量数据和图表。

4. 开发团队对错误的修复结果。哪些修复了，哪些不予修复。

为什么那些不予修复的错误不会增加风险。5. 对当前版本“安全性”的主观评估。

根据1~4的定量分析，可以得出哪些定性的结论？发布当前版本，是没有风险，有少量风险，还是有重大风险？总之，要表明测试了什么、没有测试什么、测试结果、修复结果和测试团队对发布风险的评估。

概括了8个方面，这些都是要重点考虑的：

1. 正确的用户名和密码，包括是合法的字符和合法长度

2. 错误的用户名，包括用户名含有非法字符、长度过长、长度过短

3. 正确的用户名和错误的密码，包括非法字符、长度过长或过短

4. 用户名和密码都为空

5. 正确的用户名，密码为空

6. 任意的用户名和密码，包括正确的或错误的，也可以为空

7. 检查UI友好性

检查登录界面设计是否合理，符合UI规范标准

界面符合习惯、美观，按钮对齐，输入框对齐，无错别字，字体大小协调，文字描述准确

8. 检查安全性（SQL注入等）。

安全检查记录要清楚写明以下几点：

1、安全检查的单位名称，项目类型，具体检查时间。

2、具体的检查项目或者产品。包括种类、型号、使用年限、安全性能等。

3、具体参加检查的人员名单，负责人签名。

4、详细的检查记录过程。

5、最后的检查结论，意见或建议。

扩展资料：

安全检查表项目分类如下：

1、设计审查用安全检查表：

主要用于设计人员和安全监察人员及安全评价人员在设计审核时，对企业生产性建设和技改工程项目进行设计审核时使用。也可作为“三同时'的安全预评价审核的依据。其主要内容应包括：

1）平面布置；

2）装置、设备、设施工艺流程的安全性；

3）机械设备设施的可靠性；

4）主要安全装置与设备、设施布置及操作的安全性；

5）消防设施与消防器材；

6）防尘防毒设施、措施的安全性；

7）危险物质的储存、运输、使用；

8）通风、照明、安全通道等方面。

这些内容，要求系统、全面、明了，符合安全防护措施规范和标准，并按一定格式的要求列成表格。

2、企业（厂级）安全检查表：

主要用于全厂性安全检查和安全生产动态的检查，为安全监察部门进行日常安全检查和24小时安全巡回检查时使用。其主要内容包括各生产设备设施装置装备的安全可靠性，各个系统的重点不安全部位和不安全点（源）；

1）主要安全设备、装置与设施的灵敏性、可靠性；

2）危险物质的储存与使用；

3）消防和防护设施的完整可靠性；

4）作业职工操作管理及遵章守纪等；

检查要突出重点部位的危险因素源点及影响大的不安全状态和不安全行为，按一定格式要求列成表格。

3、各专业性安全检查表：

主要用于专业性的安全检查或特种设备的安全检验。如防火防爆、防尘防毒、防冻防凝。防暑降温、压力容器、锅炉、工业气瓶。配电装置、起重设备、机动车辆、电气焊等。检查表的内容应符合专业安全技术防护措施要求。

如设备结构的安全性。设备安装的安全性、设备运行的安全性及运行参数指标的安全性、安全附件和报警信号装置的安全可靠性、安全操作的主要要求及特种作业入员的安全技术考核等。按一定格式要求列成表格。