1、安全體系測試；

1)部署與基礎(chǔ)結(jié)構(gòu)；

網(wǎng)絡(luò)是否提供了安全的通信。

部署拓撲結(jié)構(gòu)是否包括內(nèi)部的防火墻。

部署拓撲結(jié)構(gòu)中是否包括遠程應(yīng)用程序服務(wù)器。

基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么。

目標環(huán)境支持怎樣的信任級別。

2)輸入驗證；

如何驗證輸入。

A、是否清楚入口點。

B、是否清楚信任邊界。

C、是否驗證Web頁輸入。

D、是否對傳遞到組件或Web服務(wù)的參數(shù)進行驗證。

E、是否驗證從數(shù)據(jù)庫中檢索的數(shù)據(jù)。

F、是否將方法集中起來。

G、是否依賴客戶端的驗證。

H、應(yīng)用程序是否易受SQL注入攻擊。

I、應(yīng)用程序是否易受XSS攻擊。

3)身份驗證；

是否區(qū)分公共訪問和受限訪問。

是否明確服務(wù)帳戶要求。

如何驗證調(diào)用者身份。

如何驗證數(shù)據(jù)庫的身份。

是否強制試用帳戶管理措施。

4)授權(quán)；

如何向最終用戶授權(quán)。

如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序。

如何將訪問限定于系統(tǒng)級資源。

5)配置管理；

是否支持遠程管理。

是否保證配置存儲的安全。

是否隔離管理員特權(quán)。

6)敏感數(shù)據(jù)；

是否存儲機密信息。

如何存儲敏感數(shù)據(jù)。

是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)。

是否記錄敏感數(shù)據(jù)。