软件的安全性应从哪几个方面去测试？

软件的安全性应从哪几个方面去测试？

一、用户认证安全的测试：
1、明确区分系统中不同用户权限
2、系统中会不会出现用户冲突
3、系统会不会因用户的权限的改变造成混乱
4、用户登陆密码是否是可见、可复制
5、是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）
6、用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统
二、系统网络安全的测试
1、测试采取的防护措施是否正确装配好，有关系统的补丁是否打上
2、模拟非授权攻击，看防护系统是否坚固
3、采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是 NBSI 系列和 IPhacker IP ）
4、采用各种木马检查工具检查系统木马情况
5、采用各种防外挂工具检查系统各组程序的客外挂漏洞
三、 数据库安全测试：
1、系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）
2、系统数据的完整性（我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整，对于这个系统的功能实现有了障碍）
3、系统数据可管理性
4、系统数据的独立性
5、系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）

如何做好软件安全测试

一、软件安全性测试基本概念
软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。
1.用户程序安全的测试要考虑问题包括：
① 明确区分系统中不同用户权限;
② 系统中会不会出现用户冲突;
③ 系统会不会因用户的权限的改变造成混乱;
④ 用户登陆密码是否是可见、可复制;
⑤ 是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统);
⑥ 用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。
2.系统网络安全的测试要考虑问题包括：
① 测试采取的防护措施是否正确装配好，有关系统的补丁是否打上;
② 模拟非授权攻击，看防护系统是否坚固;
③ 采用成熟的网络漏洞检查工具检查系统相关漏洞;
④ 采用各种木马检查工具检查系统木马情况;
⑤ 采用各种防外挂工具检查系统各组程序的客外挂漏洞。
3.数据库安全考虑问题：
① 系统数据是否机密(比如对银行系统，这一点就特别重要，一般的网站就没有太高要求);
② 系统数据的完整性;
③ 系统数据可管理性;
④ 系统数据的独立性;
⑤ 系统数据可备份和恢复能力(数据备份是否完整，可否恢复，恢复是否可以完整)。
二、根据软件安全测试需要考虑的问题
1. 保护了最薄弱的环节
攻击者往往设法攻击最易攻击的环节，这对于您来说可能并不奇怪。即便他们在您系统各部分上花费相同的精力，他们也更可能在系统最需要改进的部分中发现问题。这一直觉是广泛适用的，因此我们的安全性测试应侧重于测试最薄弱的部分。
如果执行一个好的风险分析，进行一次最薄弱环节的安全测试，标识出您觉得是系统最薄弱的组件应该非常容易，消除最严重的风险，是软件安全测试的重要环节。
2. 是否具有纵深防御的能力
纵深防御背后的思想是：使用多重防御策略来测试软件，以至少有一层防御将会阻止完全的黑客破坏。“保护最薄弱环节”的原则适用于组件具有不重叠的安全性功能。当涉及到冗余的安全性措施时，所提供的整体保护比任意单个组件提供的保护要强得多，纵深防御 能力的测试是软件安全测试应遵循的原则。
3. 是否有保护故障的措施
大量的例子出现在数字世界。经常因为需要支持不安全的旧版软件而出现问题。例如，比方说，该软件的原始版本十分“天真”，完全没有使用加密。现在该软件想修正这一问题，但已建立了广大的用户基础。此外，该软件已部署了许多或许在长时间内都不会升级的服务器。更新更聪明的客户机和服务器需 要同未使用新协议更新的较旧的客户机进行互操作。该软件希望强迫老用户升级，没有指望老用户会占用户基础中如此大的一部分，以致于无论如何这将真的很麻 烦。怎么办呢?让客户机和服务器检查它从对方收到的第一条消息，然后从中确定发生了什么事情。如果我们在同一段旧的软件“交谈”，那么我们就不执行加密。

「软件测试」如何进行APP安全性测试

一、前言
在SDK最近的项目中上线的包被第三方杀毒软件报出有病毒的问题，后来经过查验发现是SDK悬浮窗动画的逻辑被检验出有病毒，最后进行了修改。事情虽然解决了，但是引起该问题的一个原因是在测试中没有安全测试，而安全测试的标准，方法都没有。因此今天将之前工作中参与过的安全测试以及从网上查阅到有关安全测试的资料进行整理。有不足的之处，尽情谅解。
二、软件权限
1）扣费风险：浏览网页，下载，等情况下是否会扣费，一般在游戏APP，和社交APP等需要考虑这些。
2）隐私泄露风险。例如在我们安装APP应用时通常会看到"xx要读取手机通讯录"等提示，这些提示可以提示用户拒绝接受，这些是APP测试中的测试点。
3）校验input输入。对于APP有输入框的要对输入的信息进行校验，比如密码不能显示明文。在测试中红人馆注册时需要对input进行测试。
4）限制/允许使用手机功能接人互联网，收发信息，启动应用程序，手机拍照或者录音，读写用户数据。这个在通信行业用的比较多，比如展讯，高通等芯片厂商，他们在出厂芯片时要对手机各个功能进行测试。
三、代码安全性
之所以单独拿出来说，是因为在SDK测试过程中SDK代码被第三方工具检测出游病毒代码，这样一来就会影响输入法的使用。因此在后续测试中要尝试加入安全性测试。
四、安装与卸载安全性
1）应用程序应能正确安装到设备驱动程序上
2）能够在安装设备驱动程序上找到应用程序的相应图标。在SDK测试项目中发现有些设备受权限的问题，无法下发图标创建快链。
3）是否包含数字签名信息。在SDK测试项目中基本上没有，但是在输入法打包和主线版本上存在这样的测试。
4）安装路径应能指定
5）没有用户的允许应用程序不能预先设定自动启动
6）卸载是否安全，其安装进去的文件是否全部卸载
7）卸载用户使用过程中产生的文件是否有提示
8）其修改的配置信息是否复原
9）卸载是否影响其他软件的功能
10）卸载应该移除所有的文件
11）安装包的存放。在SDK下载安装包的测试中我们经常会看到下载下来的包后面有四个随机的字符串，这个的目的是为了防止第三方工具恶意删除安装包的问题。
在SDK测试项目中有专门针对下载安装卸载的用例，对安装的路径和下载的文件夹路径等有相关的测试，测试结果页表明，某些手机（例如华为mate1）在删除了某个下载路径文件夹之后受权限应用不会自动创建。
五、数据安全性
1)当将密码或其他的敏感数据输人到应用程序时，其不会被储存在设备中，同时密码也不会被解码
2)输人的密码将不以明文形式进行显示
3)密码，信用卡明细，或其他的敏感数据将不被储存在它们预输人的位置上
4)不同的应用程序的个人身份证或密码长度必需至少在4一8个数字长度之间
5)当应用程序处理信用卡明细，或其他的敏感数据时，不以明文形式将数据写到其它单独的文件或者临时文件中。以防止应用程序异常终止而又没有删除它的临时文件，文件可能遭受人侵者的袭击，然后读取这些数据信息。
6)当将敏感数据输人到应用程序时，其不会被储存在设备中
7)备份应该加密，恢复数据应考虑恢复过程的异常通讯中断等，数据恢复后再使用前应该经过校验
8)应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全警告
9)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告，更不能在安全警告显示前，利用显示误导信息欺骗用户，应用程序不应该模拟进行安全警告误导用户
10)在数据删除之前，应用程序应当通知用户或者应用程序提供一个"取消"命令的操作
11)"取消"命令操作能够按照设计要求实现其功能
12)应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况
13)当进行读或写用户信息操作时， 应用程序将会向用户发送一个操作错误的提示信息
14)在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容
15)应用程序读和写数据正确。
16)应用程序应当有异常保护。
17)如果数据库中重要的数据正要被重写，应及时告知用户
18)能合理地处理出现的错误
19)意外情况下应提示用户
20)HTTP、HTTPS覆盖测试。在测试中我们经常会遇到与请求的加密解密测试，以确保产品的安全性

软件测试如何做安全性检查呢，比如输入什么特殊字符

针对应用安全（网站类型）
第一步 收集信息，你需要了解，一般有多少个url地址及页面、请求的情况等等（一般在你完成功能测试后，已经知道了）
第二步 分层检查 简单的来的话，分2层，页面层，针对输入框进行跨站、SQL注入等字符的进行检查，这是比较常规的方式，在完成这个一个层面的检查后，你可以针对请求层来进行检查，一般问题是出在隐藏的传递属性上，因为，开发常规会对输入的参数进行前后台字符校验，而对于默认的传递参数会忽略掉，而这就是漏洞的所在
第三步 猜测性测试，这种方法主要是针对服务中间件的测试，我们会根据IIS、weblogic、apache等应用中间件的默认响应页面进行猜测，还有一些错误信息页面，比如黄页中的信息，这些都是应该避免
这样的方式比较繁琐和复杂，当然如果有相关的测试工具话 相对可以比较快捷一点，首先它能帮助我们完成信息收集和第一轮的安全检查，根据其的报告，我们可以深入的进行更深层次的安全检查，提高我们的测试效率。

谁能简单讲讲手机应用软件安全性测试要测试什么啊？

1、文件检测：检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题。2、漏洞扫描：扫描签名、XML文件是否存在安全漏洞、存在被注入、嵌入代码等风险。3、后门检测：检测App是否存在被二次打包，然后植入后门程序或第三方代码等风险。

软件测试的方法有哪些？

一下来自百度百科相当全面的资料。或者你可以看看51testing测试论坛，上面很多资料都是免费下载的。
β测试_Beta测试 β测试，英文是Beta testing。又称Beta测试，用户验收测试（UAT）。β测试是软件的多个用户在一个或多个用户的实际使用环境下进行的测试。开发者通常不在测试现场，Beta测试不能由程序员或测试员完成。当开发和测试根本完成时所做的测试，而最终的错误和问题需要在最终发行前找到。这种测试一般由最终用户或其他人员员完成，不能由程序员或测试员完成。α测试_Alpha测试 α测试，英文是Alpha testing。又称Alpha测试. Alpha测试是由一个用户在开发环境下进行的测试，也可以是公司内部的用户在模拟实际操作环境下进行的受控测试，Alpha测试不能由该系统的程序员或测试员完成。在系统开发接近完成时对应用系统的测试;测试后，仍然会有少量的设计变更。这种测试一般由最终用户或其他人员来完成，不能由程序员或测试员完成。可移植性测试 可移植性测试，英文是Portability testing。又称兼容性测试。可移植性测试是指测试软件是否可以被成功移植到指定的硬件或软件平台上。用户界面测试-UI测试 用户界面测试，英文是User interface testing。又称UI测试。用户界面，英文是User interface。是指软件中的可见外观及其底层与用户交互的部分（菜单、对话框、窗口和其它控件）。用户界面测试是指测试用户界面的风格是否满足客户要求，文字是否正确，页面是否美观，文字，图片组合是否完美，操作是否友好等等。UI 测试的目标是确保用户界面会通过测试对象的功能来为用户提供相应的访问或浏览功能。确保用户界面符合公司或行业的标准。包括用户友好性、人性化、易操作性测试。用户界面测试用户分析软件用户界面的设计是否合乎用户期望或要求。它常常包括菜单，对话框及对话框上所有按钮，文字，出错提示，帮助信息 (Menu 和Help content)等方面的测试。比如，测试Microsoft Excel中插入符号功能所用的对话框的大小，所有按钮是否对齐，字符串字体大小，出错信息内容和字体大小，工具栏位置/图标等等。冒烟测试 冒烟测试，英文是Smoke testing。冒烟测试的名称可以理解为该种测试耗时短，仅用一袋烟功夫足够了。也有人认为是形象地类比新电路板功基本功能检查。任何新电路板焊好后，先通电检查，如果存在设计缺陷，电路板可能会短路，板子冒烟了。冒烟测试的对象是每一个新编译的需要正式测试的软件版本，目的是确认软件基本功能正常，可以进行后续的正式测试工作。冒烟测试的执行者是版本编译人员。随机测试 随机测试，英文是Ad hoc testing。随机测试没有书面测试用例、记录期望结果、检查列表、脚本或指令的测试。主要是根据测试者的经验对软件进行功能和性能抽查。随机测试是根据测试说明书执行用例测试的重要补充手段，是保证测试覆盖完整性的有效方式和过程。随机测试主要是对被测软件的一些重要功能进行复测，也包括测试那些当前的测试样例(TestCase)没有覆盖到的部分。另外，对于软件更新和新增加的功能要重点测试。重点对一些特殊点情况点、特殊的使用环境、并发性、进行检查。尤其对以前测试发现的重大Bug，进行再次测试，可以结合回归测试 (Regressive testing)一起进行。本地化测试 本地化测试，英文是Localization testing。本地化就是将软件版本语言进行更改，比如将英文的windows改成中文的windows就是本地化。本地化测试的对象是软件的本地化版本。本地化测试的目的是测试特定目标区域设置的软件本地化质量。本地化测试的环境是在本地化的操作系统上安装本地化的软件。从测试方法上可以分为基本功能测试，安装/卸载测试，当地区域的软硬件兼容性测试。测试的内容主要包括软件本地化后的界面布局和软件翻译的语言质量，包含软件、文档和联机帮助等部分。本地化能力测试 本地化能力测试，英文是Localizability testing。本地化能力测试是指不需要重新设计或修改代码，将程序的用户界面翻译成任何目标语言的能力。为了降低本地化能力测试的成本，提高测试效率，本地化能力侧是通常在软件的伪本地化版本上进行。本地化能力测试中发现的典型错误包括：字符的硬编码（即软件中需要本地化的字符写在了代码内部），对需要本地化的字符长度设置了国定值，在软件运行时以控件位置定位，图标和位图中包含了需要本地化的文本，软件的用户界面与文档术语不一致等。国际化测试 国际化测试，英文是International testing。又称国际化支持测试。国际化测试的目的是测试软件的国际化支持能力，发现软件的国际化的潜在问题，保证软件在世界不同区域都能正常运行。国际化测试使用每种可能的国际输入类型，针对任何区域性或区域设置检查产品的功能是否正常，软件国际化测试的重点在于执行国际字符串的输入/输出功能。国际化测试数据必须包含东亚语言、德语、复杂脚本字符和英语（可选）的混合字符。国际化支持测试是指验证软件程序在不同国家或区域的平台上也能够如预期的那样运行，而且还可以按照原设计尊重和支持使用当地常用的日期，字体，文字表示，特殊格式等等。比如，用英文版的 Windows XP 和 Microsoft Word 能否展示阿拉伯字符串?用阿拉伯版的 Windows XP 和 阿拉伯版的Microsoft Word 能否展示阿拉伯字符串?又比如，日文版的Microsoft Excel对话框是否显示正确翻译的日语?一旦来说执行国际化支持测试的测试人员往往需要基本上了解这些国家或地区的语言要求和期望行为是什么。安装测试 安装测试，英文是Installing testing。安装测试是确保软件在正常情况和异常情况下，例如，进行首次安装、升级、完整的或自定义的安装都能进行安装的测试。异常情况包括磁盘空间不足、缺少目录创建权限等场景。核实软件在安装后可立即正常运行。安装测试包括测试安装代码以及安装手册。安装手册提供如何进行安装，安装代码提供安装一些程序能够运行的基础数据。白盒测试-结构测试-逻辑驱动测试 白盒测试，英文是White Box Testing。又称结构测试或者逻辑驱动测试。白盒测试是把测试对象看作一个打开的盒子。利用白盒测试法进行动态测试时，需要测试软件产品的内部结构和处理过程，不需测试软件产品的功能。白盒测试法的覆盖标准有逻辑覆盖、循环覆盖和基本路径测试。其中逻辑覆盖包括语句覆盖、判定覆盖、条件覆盖、判定/条件覆盖、条件组合覆盖和路径覆盖。白盒测试是知道产品内部工作过程，可通过测试来检测产品内部动作是否按照规格说明书的规定正常进行，按照程序内部的结构测试程序，检验程序中的每条通路是否都有能按预定要求正确工作，而不顾它的功能，白盒测试的主要方法有逻辑驱动、基路测试等，主要用于软件验证。白盒测试常用工具有：Jtest、VcSmith、Jcontract、C++ Test、CodeWizard、logiscope。黑盒测试-功能测试-数据驱动测试 黑盒测试，英文是Black Box Testing。又称功能测试或者数据驱动测试。黑盒测试是根据软件的规格对软件进行的测试，这类测试不考虑软件内部的运作原理，因此软件对用户来说就像一个黑盒子。软件测试人员以用户的角度，通过各种输入和观察软件的各种输出结果来发现软件存在的缺陷，而不关心程序具体如何实现的一种软件测试方法。黑盒测试常用工具有：AutoRunner、winrunner、loadrunner。自动化测试 自动化测试，英文是Automated Testing。使用自动化测试工具来进行测试，这类测试一般不需要人干预，通常在GUI、性能等测试和功能测试中用得较多。通过录制测试脚本，然后执行这个测试脚本来实现测试过程的自动化。国内领先的自动化测试服务提供商是泽众软件。自动化测试工具有AutoRunner和TAR等。回归测试 回归测试，英文是Regression testing。回归测试是指在发生修改之后重新测试先前的测试以保证修改的正确性。理论上，软件产生新版本，都需要进行回归测试，验证以前发现和修复的错误是否在新软件版本上再次出现。根据修复好了的缺陷再重新进行测试。回归测试的目的在于验证以前出现过但已经修复好的缺陷不再重新出现。一般指对某已知修正的缺陷再次围绕它原来出现时的步骤重新测试。通常确定所需的再测试的范围时是比较困难的，特别当临近产品发布日期时。因为为了修正某缺陷时必需更改源代码，因而就有可能影响这部分源代码所控制的功能。所以在验证修好的缺陷时不仅要服从缺陷原来出现时的步骤重新测试，而且还要测试有可能受影响的所有功能。因此应当鼓励对所有回归测试用例进行自动化测试。验收测试 验收测试，英文是Acceptance testing。验收测试是指系统开发生命周期方法论的一个阶段，这时相关的用户或独立测试人员根据测试计划和结果对系统进行测试和接收。它让系统用户决定是否接收系统。它是一项确定产品是否能够满足合同或用户所规定需求的测试。验收测试一般有三种策略：正式验收、非正式验收活Alpha 测试、Beta 测试。动态测试 动态测试，英文是Moment Testing。动态测试是指通过运行软件来检验软件的动态行为和运行结果的正确性。根据动态测试在软件开发过程中所处的阶段和作用，动态测试可分为如下几个步骤： 1、单元测试 2、集成测试 3、系统测试 4、验收测试 5、回归测试 探索测试 探索测试，英文是Exploratory Testing。探索测试是指通常用于没有产品说明书的测试，这需要把软件当作产品说明书来看待，分步骤逐项探索软件特性，记录软件执行情况，详细描述功能，综合利用静态和动态技术来进行测试。探索测试人员只靠智能、洞察力和经验来对bug的位置进行判断,所以探索测试又被称为自由形式测试。单元测试 单元测试，英文是Unit Testing。单元测试是最微小规模的测试;以测试某个功能或代码块。典型地由程序员而非测试员来做，因为它需要知道内部程序设计和编码的细节知识。这个工作不容易做好，除非应用系统有一个设计很好的体系结构; 还可能需要开发测试驱动器模块或测试套具。集成测试 集成测试，英文是Integration Testing。集成测试是指一个应用系统的各个部件的联合测试，以决定他们能否在一起共同工作并没有冲突。部件可以是代码块、独立的应用、网络上的客户端或服务器端程序。这种类型的测试尤其与客户服务器和分布式系统有关。一般集成测试以前，单元测试需要完成。集成测试是单元测试的逻辑扩展。它的最简单的形式是：两个已经测试过的单元组合成一个组件，并且测试它们之间的接口。从这一层意义上讲，组件是指多个单元的集成聚合。在现实方案中，许多单元组合成组件，而这些组件又聚合成程序的更大部分。方法是测试片段的组合，并最终扩展进程，将您的模块与其他组的模块一起测试。最后，将构成进程的所有模块一起测试。此外，如果程序由多个进程组成，应该成对测试它们，而不是同时测试所有进程。集成测试识别组合单元时出现的问题。通过使用要求在组合单元前测试每个单元，并确保每个单元的生存能力的测试计划，可以知道在组合单元时所发现的任何错误很可能与单元之间的接口有关。这种方法将可能发生的情况数量减少到更简单的分析级别 系统测试 系统测试，英文是System Testing。系统测试是基于系统整体需求说明书的黑盒类测试，应覆盖系统所有联合的部件。系统测试是针对整个产品系统进行的测试，目的是验证系统是否满足了需求规格的定义，找出与需求规格不相符合或与之矛盾的地方。系统测试的对象不仅仅包括需要测试的产品系统的软件，还要包含软件所依赖的硬件、外设甚至包括某些数据、某些支持软件及其接口等。因此，必须将系统中的软件与各种依赖的资源结合起来，在系统实际运行环境下来进行测试。端到端测试 端到端测试，英文是End to End Testing。端到端测试类似于系统测试，测试级的“宏大”的端点，涉及整个应用系统环境在一个现实世界使用时的模拟情形的所有测试。例如与数据库对话，用网络通讯，或与外部硬件、应用系统或适当的系统对话。端到端架构测试包含所有访问点的功能测试及性能测试。端到端架构测试实质上是一种"灰盒"测试，一种集合了白盒测试和黑盒测试的优点的测试方法。健全测试 健全测试，英文是Sanity testing。健全测试是指一个初始化的测试工作，以决定一个新的软件版本测试是否足以执行下一步大的测试努力。例如，如果一个新版软件每5分钟与系统冲突，使系统陷于泥潭，说明该软件不够“健全”，目前不具备进一步测试的条件。衰竭测试 衰竭测试，英文是Failure Testing。衰竭测试是指软件或环境的修复或更正后的“再测试”。可能很难确定需要多少遍再次测试。尤其在接近开发周期结束时。自动测试工具对这类测试尤其有用。接受测试 接受测试，英文是Accept Testing。接受测试是基于客户或最终用户的规格书的最终测试，或基于用户一段时间的使用后，看软件是否满足客户要求。一般从功能、用户界面、性能、业务关联性进行测试。负载测试 负载测试，英文是Load testing。负载测试是测试一个应用在重负荷下的表现。例如测试一个 Web 站点在大量的负荷下，何时系统的响应会退化或失败，以发现设计上的错误或验证系统的负载能力。在这种测试中，将使测试对象承担不同的工作量，以评测和评估测试对象在不同工作量条件下的性能行为，以及持续正常运行的能力。负载测试的目标是确定并确保系统在超出最大预期工作量的情况下仍能正常运行。此外，负载测试还要评估性能特征，例如，响应时间、事务处理速率和其他与时间相关的方面。强迫测试 强迫测试，英文是Force Testing。强迫测试是在交替进行负荷和性能测试时常用的术语。也用于描述象在异乎寻常的重载下的系统功能测试之类的测试，如某个动作或输入大量的重复，大量数据的输入，对一个数据库系统大量的复杂查询等。压力测试 压力测试，英文是Stress Testing。和负载测试差不多。压力测试是一种基本的质量保证行为，它是每个重要软件测试工作的一部分。压力测试的基本思路很简单：不是在常规条件下运行手动或自动测试，而是在计算机数量较少或系统资源匮乏的条件下运行测试。通常要进行压力测试的资源包括内部内存、CPU 可用性、磁盘空间和网络带宽等。一般用并发来做压力测试。性能测试 性能测试，英文是Performance Testing。性能测试是在交替进行负荷和强迫测试时常用的术语。理想的“性能测试”(和其他类型的测试)应在需求文档或质量保证、测试计划中定义。性能测试一般包括负载测试和压力测试。通常验证软件的性能在正常环境和系统条件下重复使用是否还能满足性能指标。或者执行同样任务时新版本不比旧版本慢。一般还检查系统记忆容量在运行程序时会不会流失(memory leak)。比如，验证程序保存一个巨大的文件新版本不比旧版本慢。可用性测试 可用性测试，英文是Practical Usability Testing。可用性测试是对“用户友好性”的测试。显然这是主观的，且将取决于目标最终用户或客户。用户面谈、调查、用户对话的录象和其他一些技术都可使用。程序员和测试员通常都不宜作可用性测试员。卸载测试 卸载测试，英文是Uninstall Testing。卸载测试是对软件的全部、部分或升级卸载处理过程的测试。主要是测试软件能否卸载，卸载是否干净，对系统有无更改，在系统中的残留与后来的生成文件如何处理等。还有原来更改的系统值是否修改回去 恢复测试 恢复测试，英文是Recovery testing。恢复测试是测试一个系统从如下灾难中能否很好地恢复，如遇到系统崩溃、硬件损坏或其他灾难性问题。恢复测试指通过人为的让软件（或者硬件）出现故障来检测系统是否能正确的恢复，通常关注恢复所需的时间以及恢复的程度。恢复测试主要检查系统的容错能力。当系统出错时，能否在指定时间间隔内修正错误并重新启动系统。恢复测试首先要采用各种办法强迫系统失败，然后验证系统是否能尽快恢复。对于自动恢复需验证重新初始化（reinitialization）、检查点(checkpointing mechanisms)、数据恢复(data recovery)和重新启动 (restart)等机制的正确性；对于人工干预的恢复系统，还需估测平均修复时间，确定其是否在可接受的范围内。安全测试 安全测试，英文是Security Testing。安全测试是测试系统在防止非授权的内部或外部用户的访问或故意破坏等情况时怎么样。这可能需要复杂的测试技术。安全测试检查系统对非法侵入的防范能力。安全测试期间，测试人员假扮非法入侵者，采用各种办法试图突破防线。例如： ①想方设法截取或破译口令； ②专门定做软件破坏系统的保护机制； ③故意导致系统失败，企图趁恢复之机非法进入； ④试图通过浏览非保密数据，推导所需信息，等等。理论上讲，只要有足够的时间和资源，没有不可进入的系统。因此系统安全设计的准则是，使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。兼容性测试 兼容测试，英文是Compatibility Testing。兼容测试是测试软件在一个特定的硬件/软件/操作系统/网络等环境下的性能如何。向上兼容向下兼容，软件兼容硬件兼容。软件的兼容性有很多需要考虑的地方。比较测试 比较测试，英文是Compare Testing。比较测试是指与竞争伙伴的产品的比较测试，如软件的弱点、优点或实力。来取长补短，以增强产品的竞争力。可接受性测试 可接受性测试，英文是Acceptability Testing。可接受性测试是在把测试的版本交付测试部门大范围测试以前进行的对最基本功能的简单测试。因为在把测试的版本交付测试部门大范围测试以前应该先验证该版本对于所测试的功能基本上比较稳定。必须满足一些最低要求。比如不会很容易程序就挂起或崩溃。如果一个新版本没通过可测试性的验证，就应该阻拦测试部门花时间在该测试版本上测试。同时还要找到造成该版本不稳定的主要缺陷并督促尽快加以修正 边界条件测试 边界条件测试，英文是Boudary Testing。又称边界值测试。一种黑盒测试方法，适度等价类分析方法的一种补充,由长期的测试工作经验得知，大量的错误是发生在输入或输出的边界上。因此针对各种边界情况设计测试用例，可以查出更多的错误。边界条件测试是环绕边界值的测试。通常意味着测试软件各功能是否能正确处理最大值，最小值或者所设计软件能够处理的最长的字符串等等。强力测试 强力测试，英文是Mightiness Testing。强力测试通常验证软件的性能在各种极端的环境和系统条件下是否还能正常工作。或者说是验证软件的性能在各种极端环境和系统条件下的承受能力。比如，在最低的硬盘驱动器空间或系统记忆容量条件下，验证程序重复执行打开和保存一个巨大的文件1000次后也不会崩溃或死机。装配/安装/配置测试 装配/安装/配置测试是验证软件程序在不同厂家的硬件上，所支持的不同语言的新旧版本平台上，和不同方式安装的软件都能够如预期的那样正确运行。比如，把英文版的 Microsoft Office 2003安装在韩文版 的Windows Me 上，再验证所有功能都正常运行。静态测试 静态测试，英文是Static Testing。静态测试指测试不运行的部分，例如测试产品说明书，对此进行检查和审阅.。静态方法是指不运行被测程序本身，仅通过分析或检查源程序的文法、结构、过程、接口等来检查程序的正确性。静态方法通过程序静态特性的分析，找出欠缺和可疑之处，例如不匹配的参数、不适当的循环嵌套和分支嵌套、不允许的递归、未使用过的变量、空指针的引用和可疑的计算等。静态测试结果可用于进一步的查错，并为测试用例选取提供指导。静态测试常用工具有：Logiscope、PRQA； 隐藏数据测试 隐藏数据测试在软件验收和确认阶段是十分必要和重要的一部分。程序的质量不仅仅通过用户界面的可视化数据来验证，而且必须包括遍历系统的所有数据。假设一个应用程序要求用户两条信息-----用户名和密码来创建帐户。这个用户输入这两条数据后保存。最后，一个确认窗口将通过数据库中找到这条数据来显示用户名和密码给用户。为了验证所有的数据保存是否正确，一个QA测试人员会在这个确认窗口简单的查看下用户名和密码。如果他们成功了？假设数据库记录了第三条信息----创建日期，它可能不会出现在确认窗口，而只在存档中才出现。如果创建日期保留的不正确，而QA测试人员只验证屏幕上的数据，那么这个问题就不可能被发现。创建日期可能就是一个bug，由于一个用户帐户保存了一个错误的日期到数据库中，这个问题也不可能会被引起注意，因为它被用户界面所隐藏。这只是一个简单的例子，但是它却演化出了一点：隐藏数据测试的重要性。等价划分测试 等价划分测试的英文是equivalence partition testing。等价划分测试是根据等价类设计测试用例的一种技术。是黑盒测试的典型方法之一，通过把被测试程序所有可能的输入数据域划分成若干部分。从每一部分中选取少数有代表性的数据作为测试用例，可有效减少测试次数，极大提高软件测试效率，缩短软件开发周期．等价类划分测试的目的就是为了在有限的测试资源的情况下，用少量有代表性的数据得到比较好的测试效果。有效等价类盒无效等价类。有效等价类中的数据代表的是一组符合需求文档的正确的有意义数据。无效等价类则正相反。判定表 判定表的英文是decision table，是指一个表格，用于显示条件和条件导致动作的集合。定义：判定表是分析和表达多逻辑条件下执行不同操作的情况的工具。判定表的优点：能够将复杂的问题按照各种可能的情况全部列举出来，简明并避免遗漏。因此，利用判定表能够设计出完整的测试用例集合。在一些数据处理问题当中，某些操作的实施依赖于多个逻辑条件的组合，即：针对不同逻辑条件的组合值，分别执行不同的操作。判定表很适合于处理这类问题 深度测试 深度测试的英文Depth test ，是指执行一个产品的一个特性的所有细节，但不测试所有特性。当比较函数返回真的时候才显示出效果来。必须启用“#深度测试”，才能执行测试。不使用的时候需要关闭。基于设计的测试 基于设计的测试的英文是design-based testing，是根据软件的构架或详细设计引出测试用例的一种方法。一种基于设计模型的测试方法(Model based TestIng System,MATIS).该方法利用用户界面自动生成方法,把设计模型中的类属性定义和实现中的控件属性组织在一起,构建描述界面的逻辑对照表,辅助测试脚本引擎执行自动测试脚本.借助设计模型中扩展的类定义,MATIS方法可以自动生成测试用例和测试数据。文档测试 文档测试的英文是documentation testing，测试关注于文档的正确性。文档测试有三大类分别是开发文件、用户文件、管理文件。1. 开发文件：可行性研究报告、软件需求说明书、数据要求说明书、概要设计说明书、详细设计说明书、数据库设计说明书、模块开发卷宗。2.用户文件：用户手册、操作手册。3.管理文件：项目开发计划、测试计划、测试分析报告、开发进度月报、项目开发总结报告。软件测试中的文档测试主要是对相关的设计报告和用户使用说明进行测试，对于设计报告主要是测试程序与设计报告中的设计思想是否一致；对于用户使用说明进行测试时，主要是测试用户使用说明书中对程序操作方法的描述是否正确，重点是用户使用说明中提到的操作例子要进行测试，保证采用的例子能够在程序中正确完成操作。域测试 域测试的英文是domain testing，定义参考等价划分测试（equivalence partition testing）； 一般分为单域测试和多域测试，其中单域测试包括设备测试和业务测试，设备测试包括测试某个系统的软交换设备、中继媒体网关设备、信令网关设备、接入媒体网关和IAD等设备。等价类划分有两种不同的情况：有效等价类和无效等价类。设计时要同时考虑这两种等价类，因为软件不仅要能接收合理的数据，也要能经受意外的考验。一有效等价类：是指对于程序的规格说明来说是合理的、有意义的输入数据构成的集合。利用有效等价类可检验程序是否实现了规格说明中所规定的功能和性能。二无效等价类：与有效等价类的定义恰巧相反。

怎么判断照片扫描软件安不安全

以下是几个判断照片扫描软件安全的方法：
1.检查软件的来源：在下载和安装照片扫描软件之前，请确保下载软件的来源可信。最好从官方网站或Apple Store，Google Play等官方应用商店下载软件。
2.查看软件的评价和评论：在下载和使用照片扫描软件之前，可以查看其他用户的评价和评论，了解这个软件的质量和潜在问题。
3.注意软件权限：安装软件时，请注意阅读软件申请的权限，一些恶意软件可能会要求过多的权限，例如读取个人信息、照片等。
4.使用杀毒软件：在手机或电脑上使用杀毒软件可以帮助检测和防止恶意软件的安装。
5.更新软件：经常更新照片扫描软件可以帮助修复已知的漏洞和缺陷，提高软件的安全性。
总之，在下载和使用照片扫描软件时，建议选择知名度高并且来自可靠来源的软件，并谨慎对待那些要求过多权限或没有任何用户评价的软件。

软件测试教程之手机软件测试方法

第一：兼容性测试

针对App通常会考虑这些方面：

1)操作系统版本

包括Andoird版本，iOS版本

2)屏幕分辨率

android 800*480,960*640,1280*720(720p),1920*1080(1080p),2560*1440(2k).

对于iOS,考虑最近几代机型对应的分辨率即可.

3)不同厂家的ROM

不同厂家的ROM,大多厂家都对android 系统进行了定制、实际中会遇到例如调用相机和底层服务出现的不兼容问题以及摇一摇遇到的不同手机对于方向和重力传感器灵敏度设置不同的问题.

4) 网络类型

网络类型通常考虑wifi,2g,3g4g下的功能情况。另外针对m版网站考虑不同浏览器类型和屏幕分辨率.

第二：流量测试

在移动产品的测试中，很有必要对App使用的流量进行度量，大致来说，流量可以从用户使用的的相关性角度分为：一类是用户的操作直接导致的流量消耗;另一类是后台，即在用户没有直接使用情况下的流量消耗。

流量的测试方法：

1. 基于系统自带功能.

eg android proc/uid_stat/{uid} /tcp_send

android proc/uid_stat/{uid} /tcp_rcv

2. 通过API或者系统埋点来获取数据。

3. 通用的流量测试方法：手机抓包，或者wifi代理(Fiddler， Charles)。

常见的流量节省方法：

1. 数据压缩。

压缩包含接口文本数据的压缩，js文件的压缩及图片的压缩。

2. 不同数据格式的采用

例如采用JSON格式作为接口数据返回格式通常比XML格式要小。

3. 控制访问的频次

这个主要针对后台数据上报，PUSH消息检查等定时机制的。

4. 只获取必要的数据

有时候APP一页的内容非常多，而用户可能只会看一部分，过多的从后台拉去数据就是浪费，所以可以采用分屏加载或者懒加载的方式来减少流量消耗。

5. 缓存

可将图片，js等数据暂存起来，但由于手机存储空间有限，也需要控制整个缓存大小，并给用户提供清理缓存的选项。

6. 针对不同网络类型设计不同的访问策略

有些APP不同的网络类型返回的内容不一样。

第三：电量测试

在电器电池技术没有取得巨大突破前提下，这方面始终会存在一些瓶颈，如果一些App架构设计的不好，或者代码偶缺陷，就可能导致电量消耗比较高，所以电量测试也是很重要的。

工具 GSam Battery Monitor Pro.

第四：弱网络测试

移动互联网产品相比PC互联网产品，有一个特点是前者使用的网络比较多样，除了Wif之外，很多时候是在移动网络下使用的，移动网络遇到的情况又比较复杂，比如地铁、隧道、 体育 场等。所以网络不稳定的情况是比较容易发生的，很多情况下App的一些问题是在复杂的网络情况下才会暴露，与其让用户发现和投诉这些问题，不如我们在测试阶段尽量模拟这样的网络情况，及早发现和修复这些问题。

工具：

1. Windows下的Network Delay Simulator

2. Mac下的Network link Conditioner

第五：稳定性测试

在保证基本功能正确基础之上，App的稳定性就显得非常重要，如果一个App经常出现闪退或者卡死，那么用户体验就会受到很大伤害，在有其他竞争产品的情况下很容易造成用户的流失。

第六：安全测试

包括安装包的安全测试(能否反编译代码、安装包是否签名，完整性校验，权限设置检查等)。

敏感信息测试(数据库，日志，配置文件)。

软键盘劫持(金融类APP登录页面的用户名密码输入框)、

账户安全(密码是否明文，密码传输是否加密，账户输入错误次数过多锁定，同时会话提醒， 注销机制)

数据通信安全(关键数据是否散列或加密，关键连接是否使用安全通信，是否对数字证书合法性进行验证，是否校验数据合法性。

组件安全测试。

服务器端接口测试(SQL注入测试、XSS跨站脚本攻击， CSRF跨站请求伪造，越权访问等)。

第七：环境相关的测试

在实际项目中，有一些缺陷我发现是和App所处的运行环境相关的，所以设计测试的时候，要多考虑这些场景，比如：

1)干扰测试

收到电话、收到短信、收到通知栏消息、无电提示框弹出、第三方安全软件告警弹出。

2)权限测试

一些用户在实际使用App的时候回有意识阻止某些功能。例如有的用户感觉让某个App访问电话本或者相册可能泄漏隐私，就在手机中设置了禁止了该App访问相册的权限。

3)边界测试

手机环境本身也有其边界情况需要在测试中覆盖。常见的场景有：

可用存储空间过少、没有SD卡/双SD卡、飞行模式、系统时间有误(晚于和早于标准时间)、第三方依赖(比如我们的App依赖第三方App，但是现在第三方App没有安装或者版本过低的测试情况)。

4)Android定位测试

用白盒方式模拟

我们精心为大家整理的《软件的安全性应从哪几个方面去测试？》文章不知道大家满不满意，如果大家想了解更多留学相关的信息，请关注学分高考艺术留学栏目。（本篇共18396字）