安全性测试-应用程序安全测试

应用程序的安全性：

包括对数据或业务功能的访问，在预期的安全性情况下，操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时，确定有不同权限的用户类型，创建各用户类型并用各用户类型所特有的事务来核实其权限，最后修改用户类型并为相同的用户重新运行测试。

应用程序的安全性问题：

功能验证

   1.有效的密码是否接受，无效的密码是否拒绝。

   2.系统对于无效用户或密码登陆是否有提示。

   3.用户是否会自动超时退出，超时的时间是否合理。

   4.各级用户权限划分是否合理。

模拟攻击

   系统是否允许极端或不正常的登陆方式访问。（如不通过登入页面，直接输入URL,看其是否能够进入）