Skip to content

测试计划

测试计划

1. 项目概述

DVWA (Damn Vulnerable Web Application) 是一个故意设计成易受攻击的 Web 应用程序,用于帮助安全专业人员和开发者了解常见的 Web 应用安全漏洞。本测试针对 DVWA 的安全测试版本,着重评估系统对 OWASP Top 10 和其他常见漏洞的防护情况。

2. 测试目标

通过测试,达到下面的目标:

  • 识别潜在漏洞: 发现应用程序中存在的安全漏洞和弱点。
  • 验证安全防御措施: 检查应用程序的安全措施是否能够有效防止不同类型的攻击。
  • 评估安全性: 评估应用程序的整体安全性水平,包括数据保护和用户隐私。
  • 验证修复效果: 对已知漏洞的修复进行验证,确认修复的有效性。

3. 测试范围和重点

测试范围
  1. 输入验证和数据处理: 检查应用程序对用户输入的验证措施和数据处理方式。
  2. 数据传输和存储: 检查数据在传输和存储过程中的安全性,防止数据泄露。
测试重点
  • 常见漏洞测试: 针对常见的 Web 安全漏洞进行测试,如 SQL 注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。

4. 测试策略

4.1 漏洞扫描

使用 sqlmap 对 DVWA 进行漏洞扫描,以检测可能存在的安全漏洞。

4.2 SQL 注入

尝试通过输入恶意的 SQL 语句,测试是否存在 SQL 注入漏洞。检查应用程序是否能够正确过滤用户输入,防止恶意 SQL 查询。

5. 项目里程碑

任务 开始时间 结束时间
需求了解/评审 2023-10-08 2023-10-08
测试用例设计 2023-10-08 2023-10-09
测试用例评审 2023-10-09 2023-10-09
安全性测试 2023-10-09 2023-10-14
预发布验证 2023-10-14 2023-10-15
发布 2023-10-15 2023-10-15

6. 测试资源

6.1 人力资源
  • 测试组长: 1 名,负责制定计划,工作协调。
  • 测试工程师: 2 名
  • 小明: 编写测试用例、执行测试。
  • 小白: 执行测试。
6.2 环境资源

7. 风险列表

本次测试过程中,可能出现的风险:

  • 模块功能的实现延迟或者错误。
  • Bug 的修复延迟或者没有修复成功。
  • 开发人员约定的提测时间延后。
  • 人员调整导致的研发周期延后。
  • 项目时间的缩短导致测试计划中某些内容无法执行。

点击下载测试计划