服务介绍
软件产品登记测试从常规要求、用户文档、功能性、可靠性、易用性等方面对软件系
统进行符合性测试,其测试结果证明软件的质量是否符合中华人民共和国信息产业部关于
《软件产品管理办法》以及相应的国家标准中规定的要求。
目的及意义
软件产品登记测试是专门配合国家软件企业认定和软件产品登记制度设立的测试类型
。2000年6月,国务院颁布了《鼓励软件产业和集成电路产业发展的若干政策》,政策中
提出了在全国范围内推行软件企业认定和软件产品登记的制度,并对通过认定的软件企业
和登记的软件产品在税收等方面给予大幅度的政策优惠。而软件企业在申请软件企业认定
和进行软件产品登记时,应提交由第三方测试机构出具的软件测试报告。
依据9号令第八条第(五)款和第十条第(五)款的规定,国产软件或进口软件在申请登记
备案时必须提交第三方测试机构出具的软件测试报告。
服务介绍:
人工+工具测试相结合,根据您的测试需求及进度,由卓越测评公司测试专家,对您的产品进行完整、全面、无死角的专业测试。深度挖掘产品缺陷。
服务内容:
根据产品特性、操作描述和用户方案,从软件产品的界面、架构出发,按照需求编写出来的测试用例,使用适当的平台、浏览器和测试脚本,以保证目标用户的用户体验,通过输入数据在预期结果和实际结果之间进行评测,进而提出更加使产品达到用户使用的要求。
1、专家测试用例设计
由卓越评测测试专家结合产品文档及测试需求,对产品功能进行系统全面的测试用例设计。
2、专家功能测试
全面围绕产品场景、功能点、测试用例,进行逻辑性、针对性功能测试,交付完整测试报告并提供追踪服务。
3、专家定制测试
按照您的要求,卓越评测测试专家向您提供定制化测试方案,交付完整测试报告并提供追踪服务。
4、专家BUG探索
发掘潜在产品缺陷,对产品进行多人次、多维度的随机性功能测试和验证服务。
服务介绍:
通过模拟用户的海量并发,来发现系统的承载能力、负载能力,在高并发等压力下的处理能力,以及分析在当前性能瓶颈下,需要什么样的软硬件配置来满足更高的性能需求。
服务内容:
软件测试团队通过建立模型、测试场景、脚本等工作,使用性能与压力测试工具与平台对客户软件进行压力与性能测试,来发现系统的承载能力、负载能力和处理能力,并对性能瓶颈等问题提出优化建议。
服务详情:
通过自动化测试工具能更快捷地解决问题。
自动化测试工具可以在一台或多台机器上模拟成百上千的用户同时执行业务操作的场景,并可以很好地同步用户的执行时间,进行有效的实时监测,可以全面发现软件承载能力、负载能力和处理能力。
软件测试团队根据计算性能、内存使用、IO占用、SQL负载、带宽容量进行综合分析。并由我公司具有阿里云认证的运维架构师,提供基于缓存、均衡负载、弹性负载、CDN分发、SQL语句、消息队列等多角度的性优化方案。
服务介绍:
代码静态安全审计的目的是对产品的安全性、正确性进行审计;尽可能早的发现并确定产品中在安全方面的缺陷和隐患,找出源代码缺陷所引发的安全漏洞并提供代码修订措施和建议;可以更好的理解软件产品,防止漏洞导致安全事件的发生,避免遭受损失;协助开发出高质量的可交付产品。
服务内容:
针对客户提供的待检测的源代码,由代码安全审计团队进行安全审计,通过工具+人工,两者结合的方式,对客户的源代码进行分析,尽可能的发现安全方面的缺陷和隐患,并及时协助进行修复。
服务流程主要包含以下阶段:
➢ 信息收集:此阶段中,源代码审计小组进行必要的信息收集,包括本次源代码审计要求、稳定版本的源代码。
➢ 工具审计:确定工具审计的标准和各项配置参数,使用代码安全检测工具对目标源代码进行检测,对工具检测的结果进行人工核查,筛选,分析,汇总。
➢ 人工审计:对客户要求人工审计的重点代码采用人工分析的方法,对源代码中的业务流程及安全漏洞进行审计。
➢ 审计核验:对工具以及人工审计的漏洞,根据源代码流程复盘核验,并根据流程核验结果与利用范围确定危险等级。
➢ 输出报告:此阶段中,源代码审计小组根据测试的结果编写直观的源代码审计服务报告。
服务介绍:
了解被测信息系统现状,发现可被利用的漏洞,扫描结果是对被测信息系统安全现状的一个反映,可快速发现整体系统中存在的安全漏洞点。
服务内容:
系统安全扫描主要是使用远程安全评估系统对客户授权的各类应用、操作系统、数据库、网络设备等进行脆弱性扫描和测试。
服务流程主要包含以下阶段:
➢ 信息收集
➢ 安全扫描
➢ 漏洞验证
➢ 威胁分析
➢ 输出报告
服务详情:
安全服务团队通过对被测系统进行安全漏洞扫描,可以发现系统存在的安全漏洞和隐患,对于发现的安全隐患提出针对性的解决方案和建议,对发现的安全弱点采取安全措施,这样可以提高信息系统的安全性,增强系统对入侵和病毒的防御能力。
服务介绍:
渗透测试通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全得一种评估方法,这个过程包括对系统得任何弱点,技术缺陷或漏洞分主动分析,这个分析是从一个攻击者可能存在得位置来进行的,并且从这个位置有条件主动利用安全漏洞,从而深入的发现系统的安全漏洞。
服务内容:
渗透测试小组利用部分前沿的攻击技术,使用成熟的黑客攻击手段,结合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。
服务流程主要包含以下阶段:
➢ 明确目标
➢ 情报收集
➢ 制定计划
➢ 渗透测试
➢ 缺陷利用
➢ 成果收集
➢ 输出报告
黑盒测试与白盒测试,在准备环节有一定的区别:
✧ 黑盒测试:即对内部系统一无所知的情况下进行渗透测试或者其他测试。
✧ 白盒测试:了解内部系统、结构、源码等信息的情况下进行渗透测试或其他测试。
服务详情:
渗透测试是一个由浅入深的过程,渗透测试人员在不影响业务系统正常运行的攻击方法进行的测试,可以有效的深入挖掘安全漏洞。
与安全漏洞扫描不同点在于,安全漏洞扫描是全面发现安全漏洞与缺陷,侧重于横向全面的发现问题。渗透测试则是倾向于深入挖掘系统漏洞,侧重于纵向深入的发现问题。
服务介绍:
移动APP隐私合规检测服务是针对企业或个人开发的移动应用中收集个人信息行为是否存在违法违规进行认定并提供参考,为APP运营者提供指引,移动应用个人信息安全提供多方位全面检测,APP是否合规等问题的深度检测,及时发现应用存在的潜在风险与不合规之处,帮助企业或个人对APP隐私、过度收集、滥用等行为进行检测,高效、低成本地做APP合规检测,形成专业并易理解的检测报告,为移动应用运营者提供专业的合规、安全提供整改依据。
服务内容:
检测覆盖但不限于以下内容:
l违规收集个人信息
l超范围收集个人信息
l违规使用个人信息
l强制用户使用定向推送功能
lAPP强制、频繁、过度索取权限
lAPP频繁自启动和关联启动
l欺骗诱导强迫行为
l欺骗误导用户提供个人信息
l欺骗误导用户下载APP
深圳市卓越软件评测有限公司(以下简称“卓越”)是一家专业的第三方软件评测机构。依托丰富的客户资源和完善的服务体系,凭借自身高效专业的服务能力、深入的行业知识,为客户提供优质且高效的测评服务。
目前主要为政府部门、软件企业、通信运营商、国家电网等提供全方位的信息技术咨询服务,做好质量保障的“守卫者”。业务已涉及公安、电力、交通、医疗、教育、传媒、金融、通信等多个行业,成功实施涵盖软件测试、系统安全扫描、编码规范分析、代码静态安全审计、系统压力测试与瓶颈分析服务、渗透测试(黑盒/白盒)等多个项目,拥有丰富的软件质量评估与保障经验。
并发量
1.什么是并发量? 并发量,是指同时访问服务器站点的连接数[引用百度]。指同一时刻向服务器发送的请求数。
2.QPS是什么? QPS是指每秒查询率,一般用作单位时间内处理的并发数量。QPS通常用来表达系统的负载能力。
3.如何计算QPS? QPS=并发数/响应时间。
吞吐量
1.什么是吞吐量? 是指对网络、设备、端口、虚电路或其他设施,单位时间内成功传输的数据量。
2.影响吞吐量的因素? 主要的三个因素有QPS、响应时间和并发数,同时对硬件、带宽等也有影响。
吞出量和并发量有什么区别
并发量是指规定时间内的请求数量。吞吐量是某个时间内的数据总量。比如,一条双行道的公路,只能同时过2辆车,1个小时同行了100辆车。这里的2就是并发量,这里的100就是吞出量。
一般网站性能有关知识
1.软件性能应该考虑哪些因素? 首先,开发软件的目的是为了让用户使用,我们先站在用户的角度分析一下,用户需要关注哪些性能。
对于用户来说,当点击一个按钮、链接或发出一条指令开始,到系统把结果已用户感知的形式展现出来为止,这个过程所消耗的时间是用户对这个软件性能的直观印象。也就是我们所说的响应时间,当相应时间较小时,用户体验是很好的,当然用户体验的响应时间包括个人主观因素和客观响应时间,在设计软件时,我们就需要考虑到如何更好地结合这两部分达到用户最佳的体验。如:用户在大数据量查询时,我们可以将先提取出来的数据展示给用户,在用户看的过程中继续进行数据检索,这时用户并不知道我们后台在做什么。
用户关注的是用户操作的相应时间。
其次,我们站在管理员的角度考虑需要关注的性能点。
1、 相应时间 2、 服务器资源使用情况是否合理 3、 应用服务器和数据库资源使用是否合理 4、 系统能否实现扩展 5、 系统最多支持多少用户访问、系统最大业务处理量是多少 6、 系统性能可能存在的瓶颈在哪里 7、 更换那些设备可以提高性能 8、 系统能否支持7×24小时的业务访问
再次,站在开发(设计)人员角度去考虑。
1、 架构设计是否合理 2、 数据库设计是否合理 3、 代码是否存在性能方面的问题 4、 系统中是否有不合理的内存使用方式 5、 系统中是否存在不合理的线程同步方式 6、 系统中是否存在不合理的资源竞争 2.软件性能常见的计算方式? 1、响应时间:对请求作出响应所需要的时间
网络传输时间:N1+N2+N3+N4 应用服务器处理时间:A1+A3 数据库服务器处理时间:A2 响应时间=N1+N2+N3+N4+A1+A3+A2 2、并发用户数的计算公式
系统用户数:系统额定的用户数量,如一个OA系统,可能使用该系统的用户总数是5000个,那么这个数量,就是系统用户数。同时在线用户数:在一定的时间范围内,最大的同时在线用户数量。同时在线用户数=每秒请求数RPS(吞吐量)+并发连接数+平均用户思考时间 平均并发用户数的计算:C=nL / T 其中C是平均的并发用户数,n是平均每天访问用户数(login session),L是一天内用户从登录到退出的平均时间(login session的平均时间),T是考察时间长度(一天内多长时间有用户使用系统) 并发用户数峰值计算:C^约等于C + 3*根号C 其中C^是并发用户峰值,C是平均并发用户数,该公式遵循泊松分布理论。3、吞吐量的计算公式
指单位时间内系统处理用户的请求数 从业务角度看,吞吐量可以用:请求数/秒、页面数/秒、人数/天或处理业务数/小时等单位来衡量 从网络角度看,吞吐量可以用:字节/秒来衡量 对于交互式应用来说,吞吐量指标反映的是服务器承受的压力,他能够说明系统的负载能力 以不同方式表达的吞吐量可以说明不同层次的问题,例如,以字节数/秒方式可以表示数要受网络基础设施、服务器架构、应用服务器制约等方面的瓶颈;已请求数/秒的方式表示主要是受应用服务器和应用代码的制约体现出的瓶颈。当没有遇到性能瓶颈的时候,吞吐量与虚拟用户数之间存在一定的联系,可以采用以下公式计算:F=VU * R / 其中F为吞吐量,VU表示虚拟用户个数,R表示每个虚拟用户发出的请求数,T表示性能测试所用的时间 4、性能计数器
是描述服务器或操作系统性能的一些数据指标,如使用内存数、进程时间,在性能测试中发挥着“监控和分析”的作用,尤其是在分析系统可扩展性、进行性能瓶颈定位时有着非常关键的作用。资源利用率:指系统各种资源的使用情况,如cpu占用率为68%,内存占用率为55%,一般使用“资源实际使用/总的资源可用量”形成资源利用率。5、思考时间的计算公式
Think Time,从业务角度来看,这个时间指用户进行操作时每个请求之间的时间间隔,而在做性能测试时,为了模拟这样的时间间隔,引入了思考时间这个概念,来更加真实的模拟用户的操作。在吞吐量这个公式中F=VU * R / T说明吞吐量F是VU数量、每个用户发出的请求数R和时间T的函数,而其中的R又可以用时间T和用户思考时间TS来计算:R = T / TS 下面给出一个计算思考时间的一般步骤:A、首先计算出系统的并发用户数 C=nL / T F=R×C
B、统计出系统平均的吞吐量 F=VU * R / T R×C = VU * R / T
C、统计出平均每个用户发出的请求数量 R=uCT/VU
D、根据公式计算出思考时间 TS=T/R
大数据测试通常是指对采用大数据技术的系统或应用的测试。大数据测试可以分为两个维度,一个维度是数据测试,另一个维度是大数据系统测试和大数据应用产品测试。
数据测试:
主要关注数据的完整性、准确性和一致性等。
大数据系统测试和大数据应用产品测试:
这里的大数据系统一般是指使用hadoop生态组件搭建的或者自主研发的大数据系统。自主研发的大数据系统主要包括数据的存储、计算和分析等应用。
大数据系统测试主要包括功能、基准、安全和可靠性测试。功能测试主要是对数据的采集和传输、数据的存储和管理、数据计算、数据的查询和分析,以及数据的可视化等功能的测试。基准测试主要用于对比和评估大数据框架组件的性能指标等。
大数据应用产品,典型的有BI报表、数据分析平台等。构建大数据应用产品通常依赖数据仓库和ETL过程。
大数据测试类型
按照测试类型划分:功能测试、性能测试、其他非功能性测试(兼容、安全等)
数据的生命周期划分:数据采集测试、数据处理测试、数据计算测试和应用展示阶段测试
功能测试
功能测试主要覆盖数据质量、数据维度、数据处理和数据展示等多个方面。功能测试常用的测试方法:数据的完整性、一致性、准确性、及时性测试、数据约束检查、数据存储检查、sql文件检查、数据处理逻辑验证、shell脚本测试和调度任务测试等。
在数据质量方面,主要包括4种测试方法: 数据的完整性、一致性、准确性、及时性测试。
这个阶段决定了渗透测试的合法性、范围和有效性。
明确授权,获取书面许可
核心原则:没有授权,就是攻击。
必须与客户或产品负责人签署详细的《渗透测试授权书》,明确测试范围、时间、方式以及免责条款。这是保护测试方和被测方的法律基础。
精准定义测试范围
黑盒测试:模拟真实黑客,无任何内部信息。侧重于外部威胁。
白盒测试:提供源代码、架构图等全部信息。能更深入、高效地发现逻辑和深层漏洞。
灰盒测试:提供部分信息(如低权限账户)。平衡效率和真实性。
系统范围:明确测试哪些系统、IP地址、域名、网络段。是测试Web应用、移动应用(Android/iOS)、API接口、还是整个内网?
测试类型:明确采用哪种测试方式:
排除范围:明确哪些系统或测试手法是禁止的(例如,禁止对核心数据库进行DDos攻击)。
设定目标与成功标准
与利益相关者沟通,明确测试的目标。是为了满足合规性(如等保2.0、PCI-DSS)?还是为了发现潜在业务风险?或是评估新功能的安全性?
定义什么是“成功”的测试,例如:获取特定敏感数据、证明可完全控制系统、发现超过X个高危漏洞等。
制定详细的测试计划
包括时间表、人员分工、沟通机制(如每日站会)、应急响应流程(如果测试导致系统崩溃该怎么办)。
信息收集与工具准备
根据测试类型,尽可能多地收集目标信息(域名、技术栈、框架、第三方组件等)。
准备好渗透测试工具集(如Burp Suite, Nmap, Metasploit, SQLMap等),并确保其更新到最新版本。
这个阶段是核心的技术执行过程,需要严谨和细致。
遵守范围与规则
严格在授权范围内操作,绝不越界。任何超出范围的探索都必须先获得额外授权。
遵守约定的测试时间窗口,避免在业务高峰期进行可能影响系统稳定的测试。
注意测试手法的影响
谨慎使用自动化工具:像SQLMap、漏洞扫描器这类工具可能产生大量请求,对服务器造成压力,甚至可能破坏数据。在测试环境中可大胆使用,在生产环境需极其小心。
避免破坏性操作:原则上“只证明,不破坏”。对于写入、删除等操作,除非获得明确许可并有完备的数据备份,否则应避免。
注意社会工程学测试的伦理:如果涉及对人员的测试,必须提前获得高级管理层的批准,并注意方式方法,避免对员工造成心理伤害。
深度优先于广度
越权操作(水平越权、垂直越权)
业务流程绕过(如跳过支付步骤)
竞争条件漏洞
接口参数篡改
不要满足于扫描器报出的表面漏洞。一个中危漏洞深入利用后,可能串联成严重的安全事件。
注重业务逻辑漏洞:这是自动化工具无法发现的。例如:
详细、实时地记录
记录每一步操作:包括使用的工具、Payload、请求和响应数据包、时间戳。
截图/录屏:这是最直观的证据。
清晰的记录不仅是为了写报告,更是为了在出现问题时能快速回溯和定位,也是证明测试行为合规的关键。
保持沟通
定期向项目负责人汇报进展,特别是发现严重漏洞时,应立即口头通知,以便对方能及时采取临时防护措施。
这个阶段决定了渗透测试的最终价值——能否真正帮助提升安全性。
编写高质量的报告
执行摘要:给管理层看,用非技术语言描述整体风险状况、发现的严重问题及其业务影响。
详细技术报告:给开发/运维团队看,包含每个漏洞的详细描述、复现步骤(Step-by-Step)、请求/响应截图、漏洞定位(URL、参数)、风险等级(CVSS评分)。
修复建议:提供具体、可操作的修复方案,而不仅仅是“存在SQL注入”这样的结论。最好能提供代码示例或配置修改建议。
报告是渗透测试的最终产品,必须清晰、准确、可操作。
结构应包括:
风险等级评定要客观
结合漏洞的利用难度和业务影响来综合评定风险等级(高危、中危、低危)。
一个容易被利用且能直接获取核心数据的漏洞,无疑是高危;一个难以利用但影响很大的漏洞,可能是中危。
成果汇报与评审
向技术团队和管理层分别进行汇报,确保所有人都理解风险所在。
与开发团队一起评审漏洞,解答他们关于漏洞原理和修复方案的疑问。
跟进与复测
渗透测试的终点不是提交报告。必须建立跟进机制。
在开发团队声称修复所有漏洞后,必须进行复测,以验证漏洞是否被彻底、正确地修复,且没有引入新的问题。
关闭漏洞的生命周期,形成安全闭环。
检测机构名称
深圳市卓越软件评测有限公司
报告编号
报告发放日期
报告作废日期
