网上商城的安全测试分析

论文题目：网上商城的安全测试分析目录TOC\o"1-3"\u摘要 V1相关概述 11.1网上商城的背景 11.2网上商城的安全测试目的 11.3常见的测试方法 11.3.1功能测试 11.3.2性能测试 21.3.3安全测试 22需求分析 22.1系统设计目标 22.2商城系统可行性分析 32.2.1经济可行性 32.2.2技术可行性 32.3功能和性能的分析 32.3.1功能需求 32.3.2性能需求 33详细设计及安全测试防范措施 43.1登录模块的设计 43.1.1.登录模块界面样例图 43.1.2登录模块流程图 53.2权限管理模块设计 63.2.1权限管理模块样例图 63.2.2权限管理流程分析 73.3订单管理模块 83.3.1权限管理模块样例图 83.3.2权限管理流程分析 94网上商城的安全测试防范措施 104.1系统所需的软硬件环境 104.2测试用例的设计 104.2.1登录页面的用例设计 104.2.2权限页面的用例设计 104.2.3订单页面的用例设计 114.3系统的安全测试分析 124.3.1程序加密设计 124.3.2数据库设计 124.3.3页面密码密文的处理 134.3.4接口的安全测试 134.3.5性能测试 145结论与展望 155.1结论 155.2展望 15致谢 16参考文献 17摘要网上商城不断的增多，给人们带来了极大的便利，但也不可避免的受到各种实际条件的制约.其中软件开发人员无法准确的测试出商城存在的bug，因此测试人员融入是整个软件开发过程中的必然要求，软件测试的过程，极大的保障了系统的安全及数据和流程的准确性，大大提高了互联网商城的稳定发展。网上商城系统是采用Java语言编写的平台，以Mysql为数据库，spring框架为主要技术来编写。在商城的研发提交测试到上线验收完成的过程中，主要包括单元测试、接口测试、集成测试、回收测试等方法来验证商城流程和数据的准确性，也包括数据库中数据的验证、网络商城支付方式的安全验证、客户信息的加密保护验证等，从而保障商城系统的健壮性，可以安全稳定运营。关键词：网上商城MysqlSpring软件测试1相关概述1.1网上商城的背景21世纪我国进入了全新的经济时代，信息、通信和网络的飞速发展，传统行业的发展也慢慢更加网络化，使得从传统线下模式改变运营轨道进入网络销售的模式，使得产品通过这个平台更快速的宣传、缩短了客户与供应商之间的距离。随着互联网技术的兴起和快速发展，网络慢慢地深入人心，各种网站也应运而生：方便学习的教育网站、不出门可知天下事的新闻网站，方便快捷的购物网站，各种不同的网站正在充斥着我们的视野，满足着人们的需求。其中购物网站包括：京东、1号店、淘宝网、唯品会等，使得用户可以更方便的在网上购物，不仅节省了出门的时间和路费，并且可以在网上货比三家。1.2网上商城的安全测试目的之前小米800万用户数据泄露个人信息，疑似小米论坛用户数据库泄露，涉及800万用户，并且在网上广泛传播及下载，大量用户资料可被用来访问小米服务获取更多的用户资料，包括通讯录、短信、照片等多项内容。安徽陈女士在网购时被骗子发送的一条QQ链接，诱导进入超级网银授权的支付操作，在没有任何提示的情况下，24秒内转走10万元被骗。对于现代商业社会中的网络诈骗、客户信息被盗、网购欺骗等问题的相应出现，不仅用户的财产遭到破坏，而且公司的利益及诚信也遭到侵略和损失，因此不仅需要在软件使用过程中提高警惕的同时，软件系统的安全测试也是必不可少的手段，非常有必要的去保障网络和消费者之间的权益。1.3常见的测试方法网上商城健康稳定运行的必需条件就是软件安全，安全测试则是必要行径之一，对于网上商城的安全测试，我们分析后有以下几种方法：1.3.1功能测试在网上商城的设计实施中，需要经过注册、登录、支付、接口等一系列流程的测试.主要包以下几个方面：页面流程:首先在注册和登录时，我们采用安全性较高的浏览器，对用户名的有效性、密码的强度是否使用字母数字组合或大小写字母混合的方式等进行验证，且加入图形或算数、短信的验证码方式进行增强复杂度；且页面在登录成功后一定的时间之后会直接下线，需要用户重新登录。支付测试:商城购物在订单支付时，一方面，客户端需要绑定银行卡、充值到账户和提现等功能来提供从银行卡与账户之间的传输；另一方面需要客户购买商品后进行支付交易的过程；因此在支付时，需要验证网银支付、手机支付、支付宝、微信、信用卡支付、优惠券兑换等单个方式或多个方式的组合支付，验证支付前后的状态，数据金额；且支付页面在一定时间之后超时，则需要提示重新登录来进行交易。接口测试:接口是通过工具或HTTP请求的接收与发送，验证客户端与服务端的请求与返回数据的正确性，来保护接口之间的安全性；通常我们使用Jmeter、Postman等工具来进行接口测试，使用必传和非必传、参数长度、数值类型、特殊字符&%@#等、字符串类型、数组、正常和异常、有、无和为空，以及参数组合来作为入参的请求，查验出参所返回的数据，并且考虑接口的加密处理、前后端数据传输、日志信息、防刷机制，才能有效的保证接口之间的正常传输。1.3.2性能测试通常我们使用Loadrunner、Jmeter等工具来测试商城的性能，主要考虑响应时间、吞吐量、并发数、服务器资源使用率、cpu、内存、io、network等各项性能指标。不仅从接口，还有系统流程中也需要做性能的测试，才能保障整体系统的性能达到要求。1.3.3安全测试安全测试则需要从SQl的注入漏洞、表单的漏洞、用户身份验证、跨网站脚本(XSS)漏洞及数据库问题等不同方面来验证。2需求分析2.1系统设计目标网上商城作为买卖双方交易的平台，为了易于维护和二次开发，设立以下目标：（1）系统能够实现需求分析阶段所提出的需求。（2）系统能够简单易用，便于进行维护工作。（3）系统能够有明确的分层结构，便于精确控制各个模块。2.2商城系统可行性分析2.2.1经济可行性商城系统的开发比线下的商城方式更方便，使用方式更便捷，操作简单、维护成本更低廉，节省了大量的时间和经济资源，因此系统在经济上是可行的。2.2.2技术可行性根据商城的系统管理需要的硬件和软件要求，现市场的开发技术已经非常成熟，使用当时流行的Java语言，Spring框架为主要技术，硬件、软件的性能、环境要求也相当良好，与此同时，给予项目开发周期、软件测试周期的时间也比较宽裕，虽然有一定细节还需完善，但在预计时间内完成系统的开发和测试上线是完全可行的。2.3功能和性能的分析2.3.1功能需求网上商城系统使用了模块化的设计方式，实现的功能主要包括：用户管理、商品管理、统计报表、供应商管理、权限、订单等等。该系统包含的需求功能如下：（1）实现平台使用者的注册验证、登录功能（2）实现对用户的管理，用户信息的查看及修改，实现与用户的绑定关系。（3）实现对报表的统计，每日客户下单情况、每月订单统计等。（4）实现对商品的维护，商品的样式、单价、数量等等。（5）实现对供应商的添加、修改、删除功能。（6）实现对订单的跟踪及退款跟踪功能。2.3.2性能需求（1）界面要求：简洁美观、操作容易、具有商业平台的特点。（2）实用性：便于输入操作，精确的操作流程控制，并且简化操作。（3）稳定性：系统需要稳定的网络运行为前提，尽可能减少网络错误，防止系统死机等现象，对各种错误进行可视化提示。（4）易维护性：要实现易用性，就要求系统应尽量选择用户熟悉的术语和语言界面。（5）响应速度快：系统在日常处理中的响应速度为秒级，达到实时要求，以及时反馈信息。（6）可扩充性：要实现可扩充性，应通过系统的开放性来完成，即系统应是一个开放系统，只要符合一定的规范，可以简单的加入或减少系统的模块。通过软件的修补、替换操作来完成系统的升级和更新换代。3详细设计及安全测试防范措施3.1登录模块的设计3.1.1.登录模块界面样例图图3-1商城后台业务管理系统如图3-1所示商城后台业务管理系统的登录示图，页面需输入用户名及密码方可进入系统进行相关的操作，系统的账号为yaowenbin，密码为123456。图3-2后台业务管理系统滑图验证界面如上图所示，在不同IP下登录系统，首次登陆会在输入账号密码通过之后，进入滑图验证页面，只有通过滑图验证之后可跳转至管理系统的首页。3.1.2登录模块流程图登录流程的设计如下图，使用不同正确或错误的账号及密码登录后提示的信息内容也不同：（1）用户名或密码错误。（2）用户名或密码不能为空。（3）验证码输入不正确或为空。（4）用户名和密码全部正确，进入到系统首页。图3-3登录页面流程图通过登录页面输入正确的用户名和密码进入首页，若账号或密码错误，均会提示错误信息，且系统限制了登陆的次数，因考虑到以防恶意登录页面损坏系统数据的行为，因此加了此项限制；如若登陆成功，则进入商城首页。3.2权限管理模块设计3.2.1权限管理模块样例图权限管理模块可以在用户登录的时，会对用户的身份进行判断，并需分配对应的权限，超级管理员拥有最高的权限，管理员等级低一级。通过设置对登录用户的职级来给不同的用户职级分配不同的管理权限，也对来自不同部门和不同岗位的人员分别设定不同的角色，比如超级管理员、管理员、售后客服或供应商等分别可以查询到对应团队下的员工及其数据，然而超级管理员可以查看到系统所有的数据，其他的管理员则不能看到或使用不属于归属部门的权限和角色；如果选择角色为供应商，则会弹出相应的渠道，可以选择对应的公司等等数据，此功能需要在程序设定时及软件测试时做好准确验证；图3-4权限模块样例图3.2.2权限管理流程分析

图3-5新增用户及权限流程图权限是用户登陆所使用的权利，因此在新建用户时可选择根据用户的职级选择用户角色来分配权限，因此在新建权限之后，需要验证登陆后台管理系统查看当前用户下的菜单，且对归属的菜单模块的操作权限。3.3订单管理模块3.3.1权限管理模块样例图订单交易系统管理包括订单列表、订单退款、退款申请处理。

图3-6订单管理模块

图3-7订单管理模块订单列表订单列表模块：目的是按照所有订单的状态来统计划分，如图3-6-1所示，在列表中可以按照订单编号、收货人、提交时间三项条件来筛选订单，可以对选中的订单查看，在查看订单页面中修改订单的收货人信息、备注订单或关闭订单等；也因订单的数量大而可以对订单进行批量发货、批量退款，也可以Excel的形式导出订单；订单退款模块：目的是对用户在商品申请的退款操作，在此功能中根据订单的编号或id，添加退款原因，退货申请处理模块：目的是按照退货申请处理的状态来统计划分，在列表中可以按照服务单号、收货人、提交时间三项条件来筛选订单，可以对选中的退货订单查看其退货处理的所有信息及状态，退货处理页面可在订单编号栏查看订单的详情，也因订单的数量大而可以对订单进行批量导出，也可以Excel的形式导出订单；3.3.2权限管理流程分析订单的流程图如下：

图3-8订单的流程图4网上商城的安全测试防范措施4.1系统所需的软硬件环境硬件环境和软件环境：PC端测试：在此仅列出PC端的主要配置操作系统：Window7屏幕参数：1920*1080系统内存：4GB开发环境：开发环境所需配置数据库服务器：MySql服务器平台：Tomcat6.0开发工具：idea64.2017.3.2开发语言：Java4.2测试用例的设计在本节中将对我工作中的几个功能模块进行用例测试，分别是：登录、权限和和订单三个基本功能。希望可以通过这几个小模块的测试，使得系统在安全测试后更加健壮稳定。4.2.1登录页面的用例设计如下表：字段名称输入步骤预期结果执行结果用户名1、输入已注册过的用户名2、输入未注册过的用户名3、用户名栏位为空1、可正常登录2、提示输入正确的账号3、提示输入账号不能为空1、通过2、通过3、通过密码1、输入正确的密码2、输入错误的密码3、密码栏位为空1、可正常登陆系统2、提示密码错误3、提示密码不能为空1、通过2、通过3、通过4.2.2权限页面的用例设计如下表：字段名称输入步骤预期结果实际结果手机号码1、输入已注册过的手机号码2、输入未注册过的手机号码3、输入手机号码栏位为空1、提示该手机号已存在2、可正常显示，新增成功3、提示输入手机号码不能为空1、通过2、通过3、通过用户名1、输入已存在的用户名2、输入不存在的用户名3、输入用户名栏位为空1、提示该用户名已存在2、可正常显示，新增成功3、提示用户名不能为空1、通过2、通过3、通过是否超级用户1、选择是2、选择否1、设定该用户为超级用户2、设定该用户非超级用户1、通过2、通过是否锁定1、选择是2、选择否1、锁定该用户为不可用状态2、不锁定当前新增用户1、通过2、通过角色1、未创建角色2、已创建角色1、角色栏位为空，无法选择角色2、可在下拉框中选择角色1、通过2、通过渠道1、选择有渠道的角色2、选择没有渠道的角色1、显示当前角色下的渠道2、不显示渠道栏位1、通过2、通过4.2.3订单页面的用例设计如下表：字段名称输入步骤预期结果实际结果筛选查询/订单编号1、输入不存在的的订单编号2、输入存在的的订单编号3、输入手机号码栏位为空1、查询不到该订单，列表显示无数据2、列表显示该数据的所有信息3、显示全部订单的数据1、通过2、通过3、通过筛选查询/收货人1、输入存在的收货人2、输入不存在的收货人3、输入用户名栏位为空1、查询不到该收货人数据，列表显示无数据2、列表显示该收货人的所有信息3、显示全部订单的数据1、通过2、通过3、通过筛选查询/提交时间1、选择无订单的日期范围2、在日期表格中选择有订单的日期3、输入用户名栏位为空1、查询不到该收货人数据，列表显示无数据2、列表显示该时间范围内的所有信息3、显示全部订单的数据1、通过2、通过3、通过导出订单1、选择一条订单数据2、不选择订单1、可正常导出订单，为.xls格式2、提示“请先选中订单”1、通过2、通过4.3系统的安全测试分析数据加密技术是最基本的安全措施，可满足系统需求，此方法可通过复杂的密码算法将明文数据转化成难以识别的密文，通过不同的密钥使用加密算法，将数据加密为不同的密文，相反，可在使用密钥密文解密之前数据；比如客户的身份号码、手机号码、银行卡号码、支付密码等敏感信息。我们主要从以下四种方法中做了对系统的安全分析：4.3.1程序加密设计publicvoidSave(BackUserEntitybackUserEntity){Stringsalt=RandomStringUtils.randomAlphanumeric(20);backUserEntity.setSalt(salt);backUserEntity.setPassword(newSha256Hash(backUserEntity.getPassword(),salt).toHex());backUserEntity.setAddtime(newDate());backUserRepository.save(backUserEntity);}此程序段为设置手机号码在程序中加密的处理。4.3.2数据库设计本文以Mysql作为系统的稳定性数据库，其现在为最常用的一种关系型数据库，我们在数据库中的密码均以加密形式存储，如下图：

图3-9数据库存储密码样式图如上图所示，在把密码加密之后，数据库还设计了加盐处理，使得密码更加安全的保存，增加被轻易遭到攻击的强度。4.3.3页面密码密文的处理系统的登录页面，用户名和密码栏位均会正常的显示，然而密码为需要处理为加密的，不以明文方式显示，有效保护用户的信息安全，如下图所示。图3-10登录页面的密码栏位样式4.3.4接口的安全测试测试方法中，除流程测试和页面测试之外，接口测试也是非常重要的一项任务，接口是模块与模块之间的连接，不仅需要向下游传输信息，并且需要接收返回的信息，使得模块与模块之间可以互通，完成传输任务。图3-11接口测试请求的样例图

图3-12接口测试返回结果的样例图4.3.5性能测试我们以Jmeter工具为例，测试了登录、权限、订单三个模块的性能，以聚合报告的形式展示出来，如下图：

图3-13性能测试的样例图5结论与展望5.1结论本文通过对网上商城系统分析阐述可能存在的问题，从订单管理、登录、权限等方面提出一些加强测试的建议，电子商务模式在飞速发展的同时，也存在着各种安全风险，现如今网络手段的多样化，安全问题更加突出；因此必须有安全技术作保障，才能确保电子商务更加稳定快速的发展。5.2展望随着计算机技术的不断创新，计算机以其独特的优势得到了更加广泛的运用，网上商城的安全运营、使得电子商务的发展也得到了促进作用，还包括公司安全和计算机网络的安全。有了电子商务网络技术才能发展电子商务安全性，文中提到的几种信息的安全防范策略，都发挥着至关重要的作用，但是网络技术不仅仅只有这几种，安全技术还要不断的发展，电子商务的发展才能得到促进.漏洞在任何一个网络安全技术上都是存在的，所以必须不断发现问题，完善和改进方法.因为网络和入侵破坏手段不是一成不变的，只有发展相应的技术才能真正的保障网上商城的安全，网上商城不仅仅是交易市场的巨大变革，也是连通全球经济交易的桥梁，这也是我国与国外企业公平竞争的机会，是缩短与国外企业差距的有效手段。致谢撰写本文的经验也将有益于我的生活。我认为撰写论文是你全心全意做的事情之一。没有仔细的研究和研究，你将无法学习。你不可能有自己的研究，也没有进步或进步。我希望这次经历将成为推动我未来研究和生活的催化剂。这次的论文设计或许还存在很大问题，但希望可以有机会完善的更好.最后，我要特别感谢我的指导老师和身边的同事，感谢很多美好的时刻能和你们一起度过，感谢在完成论文的过程中给予的无私帮助。这次的论文使我感触颇深，今后无论在做任何事情上都要亲力亲为，认真对待才能有更好的成绩。参考文献[1]刘勇贤.电子商务网络安全技术研究[J].商场现代化,2017,07:52-53.[2]张苗.计算机网络安全技术在电子商务中的应用研究[J]网络安全技术与应用,201