问题
问答题
试题三(共17分)阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。[说明]某企业想开发一套B2C系统,其主要目的是在线销售商品和服务,使顾客可以在线浏览和购买商品和服务。系统的用户的IT技能、访问系统的方式差异较大,因此系统的易用性、安全性、兼容性等方面的测试至关重要。系统要求:(1)所有链接都要正确;(2)支持不同移动设备、操作系统和浏览器;(3)系统需通过SSL进行访问,没有登录的用户不能访问应用内部的内容。
[问题3](4分)本系统强调安全性,简要叙述Web应用安全性测试应考虑哪些方面。
答案
参考答案:Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。
解析:Web应用的安全性测试的体系结构和设计可以想出很多与设计有关的漏洞,从而提高应用程序的整体安全性。设计时修复漏洞要比在开发后期解决问题更为简单,也更经济,因为开发后期可能要进行大量的再工程处理。开发时如果考虑一些与目标部署环境相关的设计以及该环境定义的安全策略,可确保应用程序的部署更加平稳和安全。如果应用程序已创建完毕,安全测试可修复漏洞并完善未来的设计。 一个完整的Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。
