测试计划
测试计划¶
1. 项目概述¶
DVWA (Damn Vulnerable Web Application) 是一个故意设计成易受攻击的 Web 应用程序,用于帮助安全专业人员和开发者了解常见的 Web 应用安全漏洞。本测试针对 DVWA 的安全测试版本,着重评估系统对 OWASP Top 10 和其他常见漏洞的防护情况。
2. 测试目标¶
通过测试,达到下面的目标:
- 识别潜在漏洞: 发现应用程序中存在的安全漏洞和弱点。
- 验证安全防御措施: 检查应用程序的安全措施是否能够有效防止不同类型的攻击。
- 评估安全性: 评估应用程序的整体安全性水平,包括数据保护和用户隐私。
- 验证修复效果: 对已知漏洞的修复进行验证,确认修复的有效性。
3. 测试范围和重点¶
测试范围¶
- 输入验证和数据处理: 检查应用程序对用户输入的验证措施和数据处理方式。
- 数据传输和存储: 检查数据在传输和存储过程中的安全性,防止数据泄露。
测试重点¶
- 常见漏洞测试: 针对常见的 Web 安全漏洞进行测试,如 SQL 注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。
4. 测试策略¶
4.1 漏洞扫描¶
使用 sqlmap 对 DVWA 进行漏洞扫描,以检测可能存在的安全漏洞。
4.2 SQL 注入¶
尝试通过输入恶意的 SQL 语句,测试是否存在 SQL 注入漏洞。检查应用程序是否能够正确过滤用户输入,防止恶意 SQL 查询。
5. 项目里程碑¶
| 任务 | 开始时间 | 结束时间 |
|---|---|---|
| 需求了解/评审 | 2023-10-08 | 2023-10-08 |
| 测试用例设计 | 2023-10-08 | 2023-10-09 |
| 测试用例评审 | 2023-10-09 | 2023-10-09 |
| 安全性测试 | 2023-10-09 | 2023-10-14 |
| 预发布验证 | 2023-10-14 | 2023-10-15 |
| 发布 | 2023-10-15 | 2023-10-15 |
6. 测试资源¶
6.1 人力资源¶
- 测试组长: 1 名,负责制定计划,工作协调。
- 测试工程师: 2 名
- 小明: 编写测试用例、执行测试。
- 小白: 执行测试。
6.2 环境资源¶
7. 风险列表¶
本次测试过程中,可能出现的风险:
- 模块功能的实现延迟或者错误。
- Bug 的修复延迟或者没有修复成功。
- 开发人员约定的提测时间延后。
- 人员调整导致的研发周期延后。
- 项目时间的缩短导致测试计划中某些内容无法执行。