应用程序(应用系统)级别的安全性测试方法:
(1)对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据;
(2)操作者只能访问其所属用户类型已被授权访问的那些功能或数据;
(3)不同权限的用户类型,创建各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。
测试结果的安全性分析:
(1)分析所有测试用例,测试是否通过。
(2)测试代码是否按照要求分析,并达到相应的测试覆盖率。
(3)对测试结果进行分析,以验证所有的安全性需求是否得到了满足。
系统级别的安全性测试策略和方法:
(1)只有具备系统访问权限的用户才能访问应用程序,而且只能通过相应的网关来访问,包括对系统的登录或远程访问;
(2)只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。