安全、性能测试常见问题与注意事项_安全测试时常见问题有哪些

最近一项目验收，接待2波测试：政务云环境运营公司、甲方雇佣的第三方测试单位。

主要包含安全和性能测试两类，安全方面常见问题如下：

• SQL注入（特别常见，至少是参数化SQL，别是SQL拼接；其次是关键字和特殊字符过滤转义；GET/POST请求都需注意）
• 数据库访问权限（限制应用对数据库的访问权限：部分表、只读等）
• 越权访问（系统的栏目和页面未做服务端权限管理，修改客户端代码可以绕过认证，访问该用户无权限访问页面）
• 用户及密码未进行加密传输和存储，尝试3次后自动锁定一定时长
• 用户密码允许弱密码，未做复杂度要求
• 同一帐号允许多处多浏览器登录
• 用户登录后会话时长设置，超时后自动锁定或退出
• 无日志记录
• Web容器允许目录遍历，未升级至较新版本
• 是否支持https等安全通信协议
• CORS劫持
• XSS

性能测试常见问题如下：

• 招标文件及技术方案中对于性能指标的响应一定要加环境条件（什么网络、网络带宽、服务器节点数、服务器配置等）
• 场景和用例的承诺一定要有常识，要谨慎（高IO、带宽开销、长事务大运算的用例和场景承诺要谨慎）
• 对于并发访问量的承诺一定要有常识，要谨慎（500并发？意味着3000-5000人在线，12000-30000注册用户。你承接的系统是这个规划吗？项目金额匹配吗？）
• 架构和调优都重要（ngix负载均衡+n节点的弹性伸缩架构，网络、数据库查询、请求等各环节优化与缓存考虑）

     随着信息化越来越深入和专精，产品化是必然趋势。那么权限管控、日志记录、登录访问、安全机制等标准模块型构件一定得经得起推敲及测评。

       万事都需成本，设计、开发、自测、调优、现场支持等等都是成本和费用，项目策划和投标时尽量考虑到。