信息需要加密传输
会话锁定
评估对象安全功能原发会话锁定
在一定时间内，用户没有做任何操作，系统自动锁屏或显示一个非重要功能的页面，当用户再次使用时，需要重新登录。
用户原发会话锁定
向授权用户提供锁定和解锁自己的终端的功能。
认证测试
验证码
查看是否有验证码机制，以及验证码机制是否完善。
认证错误提示
目标服务器在处理登录操作时提示具体的信息
找回密码
通过找回密码功能找回密码
脆弱性分析
跨站脚本攻击测试
跨站脚本
Web服务器端口扫描
Web服务器端口扫描
信息泄露测试
连接数据库的帐号密码加密测试
客户端源代码敏感信息测试
客户端源代码注释测试
异常处理测试
SQL注入测试
SQL注入测试
===============================结束=============================
信息安全
测试项
测试说明
访问控制功能
基于安全属性的访问控制
根据用户权限限制对文件和数据表的访问
存储数据的完整性
存储数据的完整性监视和反应
系统检测到数据不完整时，应该有相应的提示
TSF间用户数据保密性传送保护
基本的数据交换保密性
登录过程信息机密性保护
修改密码信息机密性保护
用户属性定义
用户属性定义
为每个用户都指定了角色
秘密的规范
秘密的验证
密码最小长度限制
密码字符集强度限制
用户鉴别
鉴别的时机
登录时进行动作前的用户鉴别
一次性鉴别机制
用户登录系统后，对该用户权限范围内的操作都不再重新登录。
受保护的鉴别反馈
对用户所键入密码不显示原始字符
用户标识
标识的时机
登录系统要求用户输入用户名
在任何动作之前的用户标识
必须对用户标识，才能进行任何操作
TSF数据的管理
安全的TSF数据
确保TSF数据只接受安全的值
管理功能规范
管理功能规范
不同的管理员对自己权限范围内管理模块下的管理功能数据进行管理
安全管理角色
安全角色
对系统中的角色进行维护
安全角色限制
规定不同角色之间的相互关系
输出TSF数据的保密性
传送过程中TSF间的保密性