软件安全性测试包括程序、数据库安全性测试，根据系统安全指标不同测试策略也不同

软件安全性测试的作用：

1.能明确区分系统中不同用户权限

2.能判断软件系统中是否会出现用户冲突

3.能判断系统是否会因用户的权限的改变造成混乱。

4.用户登录密码是否是可见、可复制

5.是否可以通过途径登录系统（拷贝用户登录后的链接直接进入系统）

6.用户退出系统后是否删除所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。

Web安全性测试涉及内容：

1.动态跟踪元素属性

2.检查JavaScript事件

3.跨站脚本攻击（XSS）

4.跨站请求伪造攻击（CSRF）

5.拒绝服务攻击（DOS）

6.Cookie劫持

7.输入验证

8.浏览器安全问题

9.文件上传风险

10.Web服务器端安全性

11.MSIIIS漏洞检验

12.Apache/Tomcat/…漏洞检验

13.内容安全性

14.会话管理

15.截获和修改post请求

16.SQL注入及其实例

17.AJAX安全性测试

18.多系统单点登录机制

19.渗透性Web安全测试

20.使用工具扫描SQL注入漏洞

21.使用Firebug观察实时的请求头

22.使用Webscarab观察实时的post数据

23.使用Tamperdata观察实时的响应头

24.使用curl检验URL重定向攻击

25.使用nikto扫描网站

软件安全属于软件领域里一个重要的子领域。在以前的单机时代，安全问题主要是操作系统容易感染病毒，单机应用程序软件安全问题并不突出。但是自从互联网普及后，软件安全问题愈加显加突显，使得软件安全性测试的重要性上升到一个前所未有的高度。

标签：软件安全、漏洞扫描

更多资讯请关注公众号：软件测评闲聊站