某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥认证机制。
1、为防止针对网校学员口令攻击,请从口令强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本测试点。
2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key功能与性能测试应包含哪些基本测试点。
3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器功能与性能测试应包含哪些基本测试点。
3.1
性能测试、安全性测试、兼容性测试、易用性测试。
3.2
3000*128*2KB=750MB
3.3
每个字段验证
字段缺省值
表单中输入
3.4
(1)1:111111,10万,6(正确输入)
2:1222,10万,6(代码错误)
3:111111,0万,6(数量错误)
4:111111,10万,0(价格错误)
(2)1:姓名:张三 or 1=1-- Email:q123@q123.com 地址:xxxxxxx
2:姓名:张三 Email:q123@q123.com 地址:xxxxxxx(1)本题中有3条件,应该设计一个测试用例覆盖3个有效等价类;然后针对每个条件无效等价类各设计一个测试用例。(2)针对客户信息包括姓名、Email(必填且唯一)、地址等输入,任意挑选一个输入文本框,在保障SQL能运行前提下,输入带有注入式攻击和XSS攻击特征内容即可。
