服务介绍
软件产品登记测试从常规要求、用户文档、功能性、可靠性、易用性等方面对软件系
统进行符合性测试,其测试结果证明软件的质量是否符合中华人民共和国信息产业部关于
《软件产品管理办法》以及相应的国家标准中规定的要求。
目的及意义
软件产品登记测试是专门配合国家软件企业认定和软件产品登记制度设立的测试类型
。2000年6月,国务院颁布了《鼓励软件产业和集成电路产业发展的若干政策》,政策中
提出了在全国范围内推行软件企业认定和软件产品登记的制度,并对通过认定的软件企业
和登记的软件产品在税收等方面给予大幅度的政策优惠。而软件企业在申请软件企业认定
和进行软件产品登记时,应提交由第三方测试机构出具的软件测试报告。
依据9号令第八条第(五)款和第十条第(五)款的规定,国产软件或进口软件在申请登记
备案时必须提交第三方测试机构出具的软件测试报告。
服务介绍:
人工+工具测试相结合,根据您的测试需求及进度,由卓越测评公司测试专家,对您的产品进行完整、全面、无死角的专业测试。深度挖掘产品缺陷。
服务内容:
根据产品特性、操作描述和用户方案,从软件产品的界面、架构出发,按照需求编写出来的测试用例,使用适当的平台、浏览器和测试脚本,以保证目标用户的用户体验,通过输入数据在预期结果和实际结果之间进行评测,进而提出更加使产品达到用户使用的要求。
1、专家测试用例设计
由卓越评测测试专家结合产品文档及测试需求,对产品功能进行系统全面的测试用例设计。
2、专家功能测试
全面围绕产品场景、功能点、测试用例,进行逻辑性、针对性功能测试,交付完整测试报告并提供追踪服务。
3、专家定制测试
按照您的要求,卓越评测测试专家向您提供定制化测试方案,交付完整测试报告并提供追踪服务。
4、专家BUG探索
发掘潜在产品缺陷,对产品进行多人次、多维度的随机性功能测试和验证服务。
服务介绍:
通过模拟用户的海量并发,来发现系统的承载能力、负载能力,在高并发等压力下的处理能力,以及分析在当前性能瓶颈下,需要什么样的软硬件配置来满足更高的性能需求。
服务内容:
软件测试团队通过建立模型、测试场景、脚本等工作,使用性能与压力测试工具与平台对客户软件进行压力与性能测试,来发现系统的承载能力、负载能力和处理能力,并对性能瓶颈等问题提出优化建议。
服务详情:
通过自动化测试工具能更快捷地解决问题。
自动化测试工具可以在一台或多台机器上模拟成百上千的用户同时执行业务操作的场景,并可以很好地同步用户的执行时间,进行有效的实时监测,可以全面发现软件承载能力、负载能力和处理能力。
软件测试团队根据计算性能、内存使用、IO占用、SQL负载、带宽容量进行综合分析。并由我公司具有阿里云认证的运维架构师,提供基于缓存、均衡负载、弹性负载、CDN分发、SQL语句、消息队列等多角度的性优化方案。
服务介绍:
代码静态安全审计的目的是对产品的安全性、正确性进行审计;尽可能早的发现并确定产品中在安全方面的缺陷和隐患,找出源代码缺陷所引发的安全漏洞并提供代码修订措施和建议;可以更好的理解软件产品,防止漏洞导致安全事件的发生,避免遭受损失;协助开发出高质量的可交付产品。
服务内容:
针对客户提供的待检测的源代码,由代码安全审计团队进行安全审计,通过工具+人工,两者结合的方式,对客户的源代码进行分析,尽可能的发现安全方面的缺陷和隐患,并及时协助进行修复。
服务流程主要包含以下阶段:
➢ 信息收集:此阶段中,源代码审计小组进行必要的信息收集,包括本次源代码审计要求、稳定版本的源代码。
➢ 工具审计:确定工具审计的标准和各项配置参数,使用代码安全检测工具对目标源代码进行检测,对工具检测的结果进行人工核查,筛选,分析,汇总。
➢ 人工审计:对客户要求人工审计的重点代码采用人工分析的方法,对源代码中的业务流程及安全漏洞进行审计。
➢ 审计核验:对工具以及人工审计的漏洞,根据源代码流程复盘核验,并根据流程核验结果与利用范围确定危险等级。
➢ 输出报告:此阶段中,源代码审计小组根据测试的结果编写直观的源代码审计服务报告。
服务介绍:
了解被测信息系统现状,发现可被利用的漏洞,扫描结果是对被测信息系统安全现状的一个反映,可快速发现整体系统中存在的安全漏洞点。
服务内容:
系统安全扫描主要是使用远程安全评估系统对客户授权的各类应用、操作系统、数据库、网络设备等进行脆弱性扫描和测试。
服务流程主要包含以下阶段:
➢ 信息收集
➢ 安全扫描
➢ 漏洞验证
➢ 威胁分析
➢ 输出报告
服务详情:
安全服务团队通过对被测系统进行安全漏洞扫描,可以发现系统存在的安全漏洞和隐患,对于发现的安全隐患提出针对性的解决方案和建议,对发现的安全弱点采取安全措施,这样可以提高信息系统的安全性,增强系统对入侵和病毒的防御能力。
服务介绍:
渗透测试通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全得一种评估方法,这个过程包括对系统得任何弱点,技术缺陷或漏洞分主动分析,这个分析是从一个攻击者可能存在得位置来进行的,并且从这个位置有条件主动利用安全漏洞,从而深入的发现系统的安全漏洞。
服务内容:
渗透测试小组利用部分前沿的攻击技术,使用成熟的黑客攻击手段,结合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。
服务流程主要包含以下阶段:
➢ 明确目标
➢ 情报收集
➢ 制定计划
➢ 渗透测试
➢ 缺陷利用
➢ 成果收集
➢ 输出报告
黑盒测试与白盒测试,在准备环节有一定的区别:
✧ 黑盒测试:即对内部系统一无所知的情况下进行渗透测试或者其他测试。
✧ 白盒测试:了解内部系统、结构、源码等信息的情况下进行渗透测试或其他测试。
服务详情:
渗透测试是一个由浅入深的过程,渗透测试人员在不影响业务系统正常运行的攻击方法进行的测试,可以有效的深入挖掘安全漏洞。
与安全漏洞扫描不同点在于,安全漏洞扫描是全面发现安全漏洞与缺陷,侧重于横向全面的发现问题。渗透测试则是倾向于深入挖掘系统漏洞,侧重于纵向深入的发现问题。
服务介绍:
移动APP隐私合规检测服务是针对企业或个人开发的移动应用中收集个人信息行为是否存在违法违规进行认定并提供参考,为APP运营者提供指引,移动应用个人信息安全提供多方位全面检测,APP是否合规等问题的深度检测,及时发现应用存在的潜在风险与不合规之处,帮助企业或个人对APP隐私、过度收集、滥用等行为进行检测,高效、低成本地做APP合规检测,形成专业并易理解的检测报告,为移动应用运营者提供专业的合规、安全提供整改依据。
服务内容:
检测覆盖但不限于以下内容:
l违规收集个人信息
l超范围收集个人信息
l违规使用个人信息
l强制用户使用定向推送功能
lAPP强制、频繁、过度索取权限
lAPP频繁自启动和关联启动
l欺骗诱导强迫行为
l欺骗误导用户提供个人信息
l欺骗误导用户下载APP
深圳市卓越软件评测有限公司(以下简称“卓越”)是一家专业的第三方软件评测机构。依托丰富的客户资源和完善的服务体系,凭借自身高效专业的服务能力、深入的行业知识,为客户提供优质且高效的测评服务。
目前主要为政府部门、软件企业、通信运营商、国家电网等提供全方位的信息技术咨询服务,做好质量保障的“守卫者”。业务已涉及公安、电力、交通、医疗、教育、传媒、金融、通信等多个行业,成功实施涵盖软件测试、系统安全扫描、编码规范分析、代码静态安全审计、系统压力测试与瓶颈分析服务、渗透测试(黑盒/白盒)等多个项目,拥有丰富的软件质量评估与保障经验。
大数据测试通常是指对采用大数据技术的系统或应用的测试。大数据测试可以分为两个维度,一个维度是数据测试,另一个维度是大数据系统测试和大数据应用产品测试。
数据测试:
主要关注数据的完整性、准确性和一致性等。
大数据系统测试和大数据应用产品测试:
这里的大数据系统一般是指使用hadoop生态组件搭建的或者自主研发的大数据系统。自主研发的大数据系统主要包括数据的存储、计算和分析等应用。
大数据系统测试主要包括功能、基准、安全和可靠性测试。功能测试主要是对数据的采集和传输、数据的存储和管理、数据计算、数据的查询和分析,以及数据的可视化等功能的测试。基准测试主要用于对比和评估大数据框架组件的性能指标等。
大数据应用产品,典型的有BI报表、数据分析平台等。构建大数据应用产品通常依赖数据仓库和ETL过程。
大数据测试类型
按照测试类型划分:功能测试、性能测试、其他非功能性测试(兼容、安全等)
数据的生命周期划分:数据采集测试、数据处理测试、数据计算测试和应用展示阶段测试
功能测试
功能测试主要覆盖数据质量、数据维度、数据处理和数据展示等多个方面。功能测试常用的测试方法:数据的完整性、一致性、准确性、及时性测试、数据约束检查、数据存储检查、sql文件检查、数据处理逻辑验证、shell脚本测试和调度任务测试等。
在数据质量方面,主要包括4种测试方法: 数据的完整性、一致性、准确性、及时性测试。
这个阶段决定了渗透测试的合法性、范围和有效性。
明确授权,获取书面许可
核心原则:没有授权,就是攻击。
必须与客户或产品负责人签署详细的《渗透测试授权书》,明确测试范围、时间、方式以及免责条款。这是保护测试方和被测方的法律基础。
精准定义测试范围
黑盒测试:模拟真实黑客,无任何内部信息。侧重于外部威胁。
白盒测试:提供源代码、架构图等全部信息。能更深入、高效地发现逻辑和深层漏洞。
灰盒测试:提供部分信息(如低权限账户)。平衡效率和真实性。
系统范围:明确测试哪些系统、IP地址、域名、网络段。是测试Web应用、移动应用(Android/iOS)、API接口、还是整个内网?
测试类型:明确采用哪种测试方式:
排除范围:明确哪些系统或测试手法是禁止的(例如,禁止对核心数据库进行DDos攻击)。
设定目标与成功标准
与利益相关者沟通,明确测试的目标。是为了满足合规性(如等保2.0、PCI-DSS)?还是为了发现潜在业务风险?或是评估新功能的安全性?
定义什么是“成功”的测试,例如:获取特定敏感数据、证明可完全控制系统、发现超过X个高危漏洞等。
制定详细的测试计划
包括时间表、人员分工、沟通机制(如每日站会)、应急响应流程(如果测试导致系统崩溃该怎么办)。
信息收集与工具准备
根据测试类型,尽可能多地收集目标信息(域名、技术栈、框架、第三方组件等)。
准备好渗透测试工具集(如Burp Suite, Nmap, Metasploit, SQLMap等),并确保其更新到最新版本。
这个阶段是核心的技术执行过程,需要严谨和细致。
遵守范围与规则
严格在授权范围内操作,绝不越界。任何超出范围的探索都必须先获得额外授权。
遵守约定的测试时间窗口,避免在业务高峰期进行可能影响系统稳定的测试。
注意测试手法的影响
谨慎使用自动化工具:像SQLMap、漏洞扫描器这类工具可能产生大量请求,对服务器造成压力,甚至可能破坏数据。在测试环境中可大胆使用,在生产环境需极其小心。
避免破坏性操作:原则上“只证明,不破坏”。对于写入、删除等操作,除非获得明确许可并有完备的数据备份,否则应避免。
注意社会工程学测试的伦理:如果涉及对人员的测试,必须提前获得高级管理层的批准,并注意方式方法,避免对员工造成心理伤害。
深度优先于广度
越权操作(水平越权、垂直越权)
业务流程绕过(如跳过支付步骤)
竞争条件漏洞
接口参数篡改
不要满足于扫描器报出的表面漏洞。一个中危漏洞深入利用后,可能串联成严重的安全事件。
注重业务逻辑漏洞:这是自动化工具无法发现的。例如:
详细、实时地记录
记录每一步操作:包括使用的工具、Payload、请求和响应数据包、时间戳。
截图/录屏:这是最直观的证据。
清晰的记录不仅是为了写报告,更是为了在出现问题时能快速回溯和定位,也是证明测试行为合规的关键。
保持沟通
定期向项目负责人汇报进展,特别是发现严重漏洞时,应立即口头通知,以便对方能及时采取临时防护措施。
这个阶段决定了渗透测试的最终价值——能否真正帮助提升安全性。
编写高质量的报告
执行摘要:给管理层看,用非技术语言描述整体风险状况、发现的严重问题及其业务影响。
详细技术报告:给开发/运维团队看,包含每个漏洞的详细描述、复现步骤(Step-by-Step)、请求/响应截图、漏洞定位(URL、参数)、风险等级(CVSS评分)。
修复建议:提供具体、可操作的修复方案,而不仅仅是“存在SQL注入”这样的结论。最好能提供代码示例或配置修改建议。
报告是渗透测试的最终产品,必须清晰、准确、可操作。
结构应包括:
风险等级评定要客观
结合漏洞的利用难度和业务影响来综合评定风险等级(高危、中危、低危)。
一个容易被利用且能直接获取核心数据的漏洞,无疑是高危;一个难以利用但影响很大的漏洞,可能是中危。
成果汇报与评审
向技术团队和管理层分别进行汇报,确保所有人都理解风险所在。
与开发团队一起评审漏洞,解答他们关于漏洞原理和修复方案的疑问。
跟进与复测
渗透测试的终点不是提交报告。必须建立跟进机制。
在开发团队声称修复所有漏洞后,必须进行复测,以验证漏洞是否被彻底、正确地修复,且没有引入新的问题。
关闭漏洞的生命周期,形成安全闭环。
Monkey是一个在模拟器或设备上运行的程序,可生成伪随机用户事件(例如点击、轻触或手势)流以及很多系统级事件。您可以使用 Monkey 以随机且可重复的方式对正在开发的应用进行压力测试。
01概 览
Monkey是一个命令行工具,可以在任何模拟器实例或设备上运行。它会将伪随机用户事件流发送到系统中,从而对您正在开发的应用软件进行压力测试。
Monkey包含许多选项,主要分为以下四个类别:
基本配置选项,例如设置要尝试的事件数。
操作限制条件,例如将测试对象限制为单个软件包。
事件类型和频率。
调试选项。
Monkey在运行时会生成事件并将其发送到系统。它还会监视被测系统并查找三种特殊情况:
如果您已将 Monkey 限制为在一个或多个特定软件包中运行,它会监视并阻止转到任何其他软件包的尝试。
如果应用崩溃或收到任何未处理的异常,Monkey 会停止并报告错误。
如果应用生成“应用无响应”错误,Monkey 会停止并报告错误。
根据您选择的详细程度级别,您还将看到有关 Monkey 进度和所生成事件的报告。
02Monkey的基本用法
您可以使用开发计算机上的命令行启动 Monkey,也可以通过脚本启动。由于Monkey在模拟器/设备环境中运行,因此您必须从该环境中通过shell启动它。为此,您可以在每个命令前面加上 adb shell,或者直接进入 shell 并输入 Monkey 命令。
基本语法如下:
adb shell monkey [options] <event-count>
如果未指定任何选项,Monkey 将以静默(非详细)模式启动,并将事件发送到目标上安装的任何(及所有)软件包。下面是一个更典型的命令行,它会启动您的应用并向其发送 500 个伪随机事件:
adb shell monkey -p your.package.name -v 500
03
命令选项参考
输出简单的使用指南:
–help
命令行上的每个 -v 都会增加详细程度级别。
级别 0(默认值)只提供启动通知、测试完成和最终结果。
级别 1 提供有关测试在运行时的更多详细信息,例如发送到您的 Activity 的各个事件。
级别 2 提供更详细的设置信息,例如已选择或未选择用于测试的 Activity。
–v
2、事件
伪随机数生成器的种子值。如果您使用相同的种子值重新运行 Monkey,它将会生成相同的事件序列。
-s
在事件之间插入固定的延迟时间。您可以使用此选项减慢 Monkey 速度。如果未指定,则不延迟,系统会尽快地生成事件。
-throttle
调整轻触事件所占百分比。(轻触事件是指屏幕上的单个位置上的按下/释放事件。)
-pct-touch
调整动作事件所占百分比。(动作事件包括屏幕上某个位置的按下事件,一系列伪随机动作和一个释放事件。)
-pct-motion
调整轨迹球事件所占百分比。(轨迹球事件包括一个或多个随机动作,有时后跟点击。)
-pct-trackball
调整“基本”导航事件所占百分比。(导航事件包括向上/向下/向左/向右,作为方向输入设备的输入。)
-pct-nav
调整“主要”导航事件所占百分比。(这些导航事件通常会导致界面中的操作,例如 5 方向键的中间按钮、返回键或菜单键。)
-pct-majornav
调整“系统”按键事件所占百分比。(这些按键通常预留供系统使用,例如“主屏幕”、“返回”、“发起通话”、“结束通话”或“音量控件”。)
-pct-syskeys
调整 Activity 启动次数所占百分比。Monkey 会以随机间隔发起 startActivity() 调用,以最大限度地覆盖软件包中的所有 Activity。
-pct-appswitch
调整其他类型事件所占百分比。这包括所有其他类型的事件,例如按键、设备上的其他不太常用的按钮等等
-pct-anyevent
如果您通过这种方式指定一个或多个软件包,Monkey 将仅允许系统访问这些软件包内的 Activity。
如果应用需要访问其他软件包中的 Activity(例如选择联系人),您还需要指定这些软件包。
如果未指定任何软件包,Monkey 将允许系统启动所有软件包中的 Activity。
如需指定多个软件包,请多次使用 -p 选项,每个软件包对应一个 -p 选项。
-p
如果您通过这种方式指定一个或多个类别,Monkey 将仅允许系统访问其中一个指定类别中所列的 Activity。
如果没有指定任何类别,Monkey 会选择 Intent.CATEGORY_LAUNCHER 或 Intent.CATEGORY_MONKEY 类别所列的 Activity。
要指定多个类别,请多次使用 -c 选项 - 每个类别对应一个 -c 选项。
-c
4、调试
指定后,Monkey 将初始启动到测试 Activity,但不会生成任何其他事件。为了获得最佳结果,请结合使用 -v、一个或多个软件包约束条件以及非零限制,以使 Monkey 运行 30 秒或更长时间。这提供了一个环境,您可以在其中监控应用调用的软件包转换操作。
-dbg-no-events
如果设置此选项,则会在 Monkey 事件序列之前和之后立即生成分析报告。这将在 data/misc 下生成大型(约为 5Mb)文件,因此请谨慎使用
-hprof
通常,当应用崩溃或遇到任何类型的未处理异常时,Monkey 将会停止。如果指定此选项,Monkey 会继续向系统发送事件,直到计数完成为止。
-ignore-crashes
通常,当应用遇到任何类型的超时错误(例如“应用无响应”对话框)时,Monkey 将会停止。如果指定此选项,Monkey 会继续向系统发送事件,直到计数完成为止。
-ignore-timeouts
通常,当应用遇到任何类型的权限错误(例如,如果它尝试启动需要特定权限的 Activity)时,Monkey 将会停止。如果指定此选项,Monkey 会继续向系统发送事件,直到计数完成为止。
-ignore-security-exceptions
通常,当 Monkey 因出错而停止运行时,出现故障的应用将保持运行状态。设置此选项后,它将会指示系统停止发生错误的进程。注意,在正常(成功)完成情况下,已启动的进程不会停止,并且设备仅会处于最终事件之后的最后状态。
-kill-process-after-error
监视并报告 Android 系统原生代码中发生的崩溃。如果设置了 –kill-process-after-error,系统将会停止。
-monitor-native-crashes
阻止 Monkey 执行,直到为其连接了调试程序。
-wait-dbg
检测机构名称
深圳市卓越软件评测有限公司
报告编号
报告发放日期
报告作废日期
