1、 信息安全测试项列表测试项 测试说明访问控制功能 基于安全属性的访问 控制 根据用户权限限制对文件和数据表的访问存储数据的完整性存储数据的完整性监视和反应系统检测到数据不完整时,应该有相应的提示登录过程信息机密性保护TSF 间用户数据保密性传送保护基本的数据交换保密性 修改密码信息机密性保护用户属性定义 用户属性定义 为每个用户都指定了角色密码最小长度限制秘密的规范 秘密的验证密码字符集强度限制鉴别的时机 登录时进行鉴别任何动作前的用户鉴别 任何动作前的用户鉴别一次性鉴别机制 用户登录系统后,对该用户权限范围内的操作都不再重新登录。用户鉴别受保护的鉴别反馈 对用户所键入密码不显示原始字符用户标
2、识 标识的时机 登录系统要求用户输入用户名测试项 测试说明在任何动作之前的用户标识 必须对用户标识,才能进行任何操作TSF 数据的管理 安全的 TSF 数据 确保TSF数据只接受安全的值管理功能规范 管理功能规范 不同的管理员对自己权限范围内管理模块下的管理功能数据进行管理安全角色 对系统中的角色进行维护安全管理角色安全角色限制 规定不同角色之间的相互关系输出 TSF 数据的保密性传送过程中 TSF 间的保密性 信息需要加密传输评估对象安全功能原发会话锁定在一定时间内,用户没有做任何操作,系统自动锁屏或显示一个非重要功能的页面,当用户再次使用时,需要重新登录。会话锁定用户原发会话锁定 向授权用户提供锁定和解锁自己的终端的功能。验证码 查看是否有验证码机制,以及验证码机制是否完善。认证错误提示 目标服务器在处理登录操作时提示具体的信息认证测试找回密码 通过找回密码功能找回密码测试项 测试说明跨站脚本攻击测试 跨站脚本Web 服务器端口扫描 Web服务器端口扫描连接数据库的帐号密码加密测试客户端源代码敏感信息测试客户端源代码注释测试信息泄露测试异常处理测试脆弱性分析SQL 注入测试 SQL注入测试= 结束 =
