渗透测试用例设计实例（测试场景）：

　　请记住这不是功能测试。目前你的目的就是找到系统的安全漏洞。下面是一些一般的测试用例但并不是所有项目所必须的。

　　1）检测web应用程序是否能够辨认垃圾邮件攻击网站所使用的通讯录。

　　2）代理服务器——检查代理应用程序是否监控了网络流量。代理服务器使黑客很难获得网络内部详细资料从而避免了系统受到外部攻击。

　　3）垃圾邮件过滤——验证收到和发送邮件时过滤垃圾邮件和广告邮件是否有被阻止。许多邮件客户端内置垃圾过滤，能够按照你所需要的功能进行配置。这些配置规则可以按照邮件头，主题或邮件主体进行过滤。

　　4）防火墙——确认整个网络和所有计算机都是受防火墙包含的。防火墙可以是软件或硬件来阻挡非法用户进入到系统。防护墙可以防止未经允许就将数据发送到外网。

　　5）试着扩展所有服务器，桌面系统，打印机和网络设备。

　　6）验证所有的用户名和密码已加密，并且传输数据是通过安全连接如https连接地址。

　　7）验证信息已存储在网站cookies。存储格式不应该是可读格式。

　　8）验证之前发现的漏洞是否已修复。

　　9）验证网络中是否还有漏开的端口可进入系统。

　　10）验证所有的电话设备。

　　11）验证所有的WIFI网络安全。

　　12）验证所有的HTTP方法。“PUT”和“Delete”方法在网站服务器上应该是不可用的。

　　……………………

　　查看全文请点击下载：http://www.51testing.com/html/32/n-827732.html

　　31）验证用户的session在注销后就失效。

　　32）验证在服务器上浏览的目录是不可见的。

　　33）验证所有的应用程序和数据库版本根据日期进行设定。

　　34）验证如果web应用程序不显示不愿显示的内容，url操作是否会进行检查。

　　35）验证是否有内存泄露和缓冲溢出。

　　36）验证通过扫描访问的网络数据检查木马攻击

　　37）验证系统是否远离蛮力攻击。一个尝试性和错误方法找到敏感信息如密码。

　　38）验证系统或网络是否远离DoS攻击。由于目标上的资源超载，而拒绝合法请求，黑客就通过连续发出请求的方式将网络或单一计算机作为攻击目标。

　　一般使用基本的测试场景开始进行渗透测试。有许多的高级渗透测试方法可以手工测试实现，也可以使用自动化工具辅助完成测试。

　　最后，作为一名渗透测试人员，你应该收集和记录系统所有的漏洞。不要忽略任何一个终端用户不会执行的一些场景。

　　如果你是一名渗透测试人员，请帮助我们的读者分享你的经验，应该注意的地方和一些关于如何有效执行测试用例的实例。

　　查看全文请点击下载：http://www.51testing.com/html/32/n-827732.html

　　版权声明：51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权，未经明确的书面许可，任何人或单位不得对本网站内容复制、转载或进行镜像，否则将追究法律责任。