软件安全测试的要点有哪些？

1.上传功能

（1）绕过文件上传检查功能

（2）上传文件大小和次数限制

2.注册功能

（1）注册请求是否安全传输

（2）注册时密码复杂度是否后台检验

（3）激活链接测试

（4）重复注册

（5）批量注册问题

3.验证码功能

（1）验证码的一次性

（2）验证码绕过

（3）短信验证码轰炸

4.密码安全性要求

（1）密码复杂度要求

（2）密码保存要求

安全测试是一个非常复杂的过程，安全测试所使用到的工具也非常多，而且种类不一，如漏洞扫描工具、端口扫描工具、抓包工具、渗透工具等。

软件安全测试，有哪些工具推荐使用？

1. AppScan

一款安全漏洞扫描工具，支持Web和移动，非常适用漏洞扫描，可以说是"探索"和"测试"的过程，生成直观测试报告，有助于研发人员分析和修复。通常用来扫描一些安全漏洞，用起来较方便。

2. nessus

一款世界上流行的漏洞扫描程序，可提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。支持同时在本机或远端上遥控，进行系统的漏洞分析扫描。

3.Skipfish

这是一款主动的Web应用程序安全侦察工具，可以快速实现响应目标的每秒2000个请求，CPU占用率小，速度快，误报率较小。

4. Sqlmap

一个开源的渗透测试工具，主要用于自动化测试，这个工具的原理是利用SQL注入漏洞，获取数据库服务器的权限。