傳輸安全性需要測試數據通過接口傳輸時是否具有機密性、完整性、可用性和不可抵賴性。按照場景又可以將測試過程劃分爲通信方式、數據傳輸、升級和文件傳輸幾個典型部分。
1.從通信方式來驗證傳輸安全性測試
從下表所示測試點去驗證系統在通信方式傳輸方面的處理是否存在問題。
從通信方式來驗證傳輸性安全性問題,首先要知道產品發送消息的類型,各類消息是通過什麼傳輸協議發送的。比如HTTPS,即HTTP消息要TCP握手時數字簽名證書校驗,抓包看SSL和TSL的版本號是否滿足要求。SFTP即SSH方式傳輸文件信息,FTP是不安全的。UDP也是不安全的,SNMP V3是可以加密和認證傳輸的。
2.從參數傳輸(原文是數據傳輸)來驗證傳輸安全性測試
從下表所示測試點去驗證系統在參數傳輸安全方面的處理是否存在問題。
從數據傳輸來驗證傳輸安全性測試,主要是數據參數在傳輸過程中的加密方式(加密算法)和數據參數的完整性校驗。
3. 從升級接口來驗證傳輸安全性測試
從下表所示測試點去驗證系統在升級的處理是否存在問題。
從升級接口來驗證傳輸安全性測試,有個問題,爲什麼沒有安裝接口驗證傳輸安全性?我想有可能是包含在升級場景中的。
4.從文件傳輸驗證傳輸安全性測試
從下表所示測試點去驗證系統在文件傳輸方面的處理是否存在問題。
個人理解:前面有數據傳輸驗證傳輸安全性,文件傳輸的安全性有什麼特殊的呢?原文中的數據傳輸,已改爲參數傳輸更合理些。從傳輸內容上分爲參數和文件兩大類。文件類型檢查方法包括MIME Type、二進制字節流和文件名後綴。傳輸文件的白名單,特殊文件需要簽名驗證。
個人理解,這四類傳輸安全性的優先級是通信方式、參數傳輸和數據傳輸、升級接口。個人理解升級接口不一定每個產品都有這樣的傳輸安全性問題,對於大多數手機終端APP這種推送軟件升級的纔有,理論上也應該包含在文件傳輸和參數傳輸中。
摘取自劉琛梅老師的《測試架構師修煉之道:從測試工程師到測試架構師 第2版》