隨著人工智能和物聯(lián)網(wǎng)不斷進步，現(xiàn)今在家中或是工作時使用智能語音設(shè)備，已經(jīng)成為不少現(xiàn)代人的生活日常，只要對著設(shè)備簡單說一聲： 「嗨，Alexa幫我計時」 或是 「嗨，小愛同學(xué)幫我撥放音樂」 透過這些簡單的指令就可以幫你完成動作。市面上的手機、汽車車機以及智能音箱等已成為大眾所熟悉應(yīng)用智能語音的設(shè)備。另一方面，在零售、銀行、互聯(lián)設(shè)備、智能家居、醫(yī)療保健和汽車行業(yè)的應(yīng)用日益擴大下，對于語音啟用系統(tǒng)、語音虛擬助理系統(tǒng)和語音設(shè)備的需求不斷增長，因此語音識別的能力跟正確性更是廠商需要特別重視的市場應(yīng)用風(fēng)險。

語音識別應(yīng)用風(fēng)險與解決方案

你還記得小米語音助理「小愛同學(xué)」的初次發(fā)表會嗎？在這場演示中，創(chuàng)辦人雷軍問「三個木叫什么」，小愛回答「木三分」，于是雷軍不死心再問了一次，小愛回答「你是電、你是光、你是唯一的神話～」現(xiàn)場來賓哄堂大笑，雷軍滿臉尷尬，由此可見一個無法正確辨識跟執(zhí)行的智能語音設(shè)備還不如沒有這項功能。針對這些問題，百佳泰跟市場上多家語音識別系統(tǒng)的原廠合作密切，亦執(zhí)行過大量的測試案例，我們歸納出在日常生活中語音系統(tǒng)造成使用者的主要困擾：

• 對于用戶的指令沒有響應(yīng)，或等待太久才響應(yīng)
• 智能語音助理連線經(jīng)常斷線，或連線不穩(wěn)定
• 智能語音助理答非所問
• 明明沒說關(guān)鍵詞，智能語音助理卻異常被喚醒。

而造成上述問題跟以下因素息息相關(guān)：

• Speaker voice profile (gender, age, language, tone, speed)
• Distance & angle from speaker to microphone
• Background noise
• Voice commands context
• Auto correction & tolerance conversational ability

針對上述應(yīng)用風(fēng)險，需要一個專業(yè)的驗證能夠具備模擬使用者情境的能力，來協(xié)助廠商改善上述相關(guān)問題。百佳泰具有專門的語音識別測試能力，能夠提供專業(yè)的聆聽室環(huán)境，以隔絕外在的環(huán)境聲、噪音、機械聲以及人聲來確保測試的正確性。此外，百佳泰具有專業(yè)的設(shè)備，以進行校正和符合Google以及亞馬遜Spec等測試場地，并且會從以下幾種面向進行驗證以減少錯誤狀況的發(fā)生。

1. Stability Test

語音助理的使用皆是需要長時間待命，此項目就是用以驗證產(chǎn)品的穩(wěn)定度，確認使用語音助理長時間之后，是否會導(dǎo)致系統(tǒng)崩潰。

2. Wake Word Detection Delay Test

為了能夠達到語音系統(tǒng)實時的反應(yīng)，測試喚醒語音以及命令句之間所需要的時間長短，以避免消費者在使用上遇到等待響應(yīng)的時間。

3. Wake-Word False Alarm Test

正常使用者在對話時，不會特意去避開使用喚醒詞，此測試是以播放非喚醒句，用以驗證產(chǎn)品不會被錯誤的喚醒句喚醒。

4. Wake-Word False Rejection Test

使用正確的喚醒詞，來確認是否會錯誤的拒絕了使用者的喚醒使用。

5. Response Accuracy Test

驗證產(chǎn)品喚醒的正確率，且對命令句的解析即辨識，透過播放預(yù)錄的測試語音，來記錄產(chǎn)品是否能每次被正確喚醒以及正確的回復(fù)問題。

Faster, Easier, Better！值得您信賴的智能語音設(shè)備顧問服務(wù)

百佳泰為Alexa認證實驗室，同時以多年的業(yè)界經(jīng)驗根據(jù)這類產(chǎn)品做客制化測試規(guī)劃，并且提供理想的顧問服務(wù)。除此之外，百佳泰亦提供了更多使用者情境模擬，以協(xié)助廠商驗證產(chǎn)品性能，幫助客戶排除大部分可能遇到的問題，減少下架跟退貨的風(fēng)險。

• 不同的語音種類。
• 更多的距離、高度變換。
• 更多不同的環(huán)境噪音。

Faster

藉由專業(yè)的測試技術(shù)與豐富的經(jīng)驗，能為您提供快速且準確的評估，有效縮短設(shè)計驗證的時間。百佳泰不僅是Alexa認證實驗室，可為客戶快速通過認證規(guī)范要求，同時也建立Smart Home等不同應(yīng)用環(huán)境，透過真實情境仿真，確保產(chǎn)品兼容性跟功能性，為您的產(chǎn)品做好質(zhì)量把關(guān)。

• 豐富的設(shè)備跟經(jīng)驗可快速地提供驗證計劃
• 有Smart Home等實際情境模擬環(huán)境，能夠快速協(xié)助執(zhí)行測試
• 快速地協(xié)助客人取得標準認證 (Alexa)

Easier

百佳泰擁有完善的聆聽室以及相關(guān)的語言檢測硬件驗證設(shè)備，透過我們的測試方案，可以確保每次的驗證評估皆具有「定性、定量、可重現(xiàn)」的特性。我們的服務(wù)能夠幫助您以更簡單的方式，提升產(chǎn)品的質(zhì)量與整體效能。

• 更準確的測試結(jié)果
• 更省時間成本的測試方案
• 專業(yè)的Issue Isolation及Debugging Support，更能輕松地完成產(chǎn)品開發(fā)

Better

百佳泰不僅擁有超過30年以上的專業(yè)實績、專業(yè)的技術(shù)團隊以及一應(yīng)俱全的測試環(huán)境與儀器設(shè)備，憑借著豐富的使用者情境測試經(jīng)驗，致力于提供客戶更加完善的服務(wù)質(zhì)量。

• 更好更完善的驗證測試計劃
• 更好更完善的使用者情境模擬測試

若您有任何問題，歡迎您隨時透過在線窗口與我們聯(lián)系。百佳泰智能語音設(shè)備顧問團隊將會與您緊密地合作，一起將您的產(chǎn)品達到價值提升，讓您的用戶有理想的用戶使用體驗！

現(xiàn)代人的生活步調(diào)愈來愈快，工作壓力、天氣多變、情緒起伏都讓血壓忽高忽低快速改變。隨著生活水平提升與衛(wèi)生教育普及，許多長者或高血壓患者家中會自備血壓計，隨時測量，注意自身及家人的血壓變化。

血壓計可分為傳統(tǒng)血壓計及電子血壓計。傳統(tǒng)血壓計有水銀柱和氣壓表兩種，兩者皆需配合聽診器使用，使用程序繁瑣，一般人使用上較不便。電子血壓計利用傳感器來收集信息，經(jīng)過運算，計算出收縮壓及舒張壓。部分電子血壓計同時具備測心率等其他功能，除了操作上較簡易，數(shù)據(jù)閱讀也具直覺性，比較適用于家庭日常血壓量測。

然而，不管是傳統(tǒng)或電子血壓計，都需要拿一張紙來記錄每日的血壓數(shù)據(jù)，整體來說仍舊十分不方便。隨著智能電子血壓計的導(dǎo)入及應(yīng)用，讓血壓管理變得更簡單。使用者只需在固定時間量血壓，透過藍牙?傳送數(shù)據(jù)至手機APP，使用者便可輕松查閱長期的血壓變化。

常見智能血壓計問題 大解析

智能血壓計的問世理應(yīng)帶給消費者極大便利，我們卻在市場上聽到了消費者在使用上反應(yīng)不佳的回饋。眾所皆知，用戶體驗與滿意度會直接影響品牌形象，有些使用上的問題可能會打擊使用者的信心與降低品牌忠誠度，影響企業(yè)未來的獲利機會。以下列舉市場常見問題以及使用者困擾：

1. 手機無法透過藍牙?連接到血壓計
2. 裝置（手機與血壓計）配對失敗
3. 血壓計APP操作失敗
4. 手機數(shù)據(jù)無法同步到云端
5. 血壓測量結(jié)果無法傳送到手機

• Note：根據(jù)衛(wèi)福部醫(yī)療器材管理辦法，百佳泰不具醫(yī)療器材之檢驗資格，因此本文不討論血壓的準確性。

為了驗證使用者困擾的真實性，百佳泰特別選取了具代表性的待測物－全球知名、適合家用的Omron藍牙智能血壓計HEM-7280T，來看看是否會發(fā)現(xiàn)上述問題。

我們使用以下3支手機、3臺AP與Omron藍牙智能血壓計（待測物）來測試，來進行交叉實驗，模擬一般人在日常生活中使用血壓計的情境。

應(yīng)用檢測：潛在問題有哪些？

理想狀態(tài)下，智能血壓計搭配的OMRON connect APP可以存取最新血壓數(shù)據(jù)，也可將數(shù)據(jù)上傳到上云端，長期留存所有血壓歷史紀錄。然而，經(jīng)過我們測試專家實測，發(fā)現(xiàn)了以下四種問題：

問題1：更換血壓計電池　手機卻找不到該裝置

我們使用4節(jié)AA電池來模擬測量血壓后，電力剛好耗盡的情況。更換完電池之后，測試人員發(fā)現(xiàn)3支手機中有1部手機無法透過藍牙?連接到血壓計，發(fā)生找不到裝置（No Device Found）的狀況，造成最新血壓量測數(shù)據(jù)無法順利傳輸?shù)绞謾CAPP。

問題2：移除與新增裝置　發(fā)生驗證錯誤

在手機上移除與新增血壓計的測試中，發(fā)現(xiàn)有裝置驗證錯誤（Device Authentication Error）的狀況發(fā)生，3部手機中就有2部手機會發(fā)生，其中兩款手機的驗證錯誤率更高達20%。

問題3：更換裝置查看血壓記錄　APP卡頓

理論上，無論何種情境，用戶應(yīng)能隨時隨地查詢「云端」血壓信息。然而，當用戶欲更換血壓計，在沒有血壓計裝置聯(lián)機的狀態(tài)下，我們發(fā)現(xiàn)透過Apple手機查看血壓日記（Blood Pressure Dairy），APP會卡在數(shù)據(jù)傳輸（Transferring Data）頁面。

問題4：AP與手機不兼容　無法查閱血壓日記

智能血壓計的設(shè)計前提為：使用者須連到云端才能備份血壓日記。從下表可得知，除了Apple手機在聯(lián)機到D--Link AP時有發(fā)生聯(lián)機問題，其他的組合都能100%正常連上網(wǎng)絡(luò)，并將數(shù)據(jù)傳送至云端。

綜合市場常見問題及百佳泰實驗測試，Omron藍牙智能血壓計HEM-7280T雖強調(diào)藍牙?配對手機、云端備份血壓數(shù)據(jù)等功能，不過無法確保手機藍牙?每次都能找到裝置并且順利連接（見問題2）。此外，特定手機和AP的組合，可能導(dǎo)致手機無法將數(shù)據(jù)同步到云端（見問題4）。同時也可能發(fā)生測量血壓后血壓計電力不足，最新數(shù)據(jù)就無法傳至手機APP的狀況（見問題1）。這些實測的問題結(jié)果，直接應(yīng)證了消費者所述的常見問題的真實性，廠商若想要在市場上確保良好使用評價，處理上述問題為當務(wù)之急。

智能血壓計雖免去透過手寫紀錄血壓的麻煩，然而有些使用情境或藍牙?聯(lián)機卻產(chǎn)生新的使用問題，讓用戶面臨更多困擾，反而得不償失。

百佳泰智在健康客制化服務(wù)

隨著物連網(wǎng)技術(shù)蓬勃發(fā)展，IoT相關(guān)的產(chǎn)品亦不斷推層出新，除了智能血壓計，其他智能健康裝置，如血糖機、心率帶等，也很有可能遇到上述使用問題。

百佳泰在IoT產(chǎn)品潛在風(fēng)險評估及測試領(lǐng)域，已經(jīng)深耕多年。我們不僅提供整體兼容性、功能性測試，針對個別產(chǎn)品屬性及定位，百佳泰量身打造不同的用戶體驗測試，也提供實時除錯咨詢，讓您的智能照顧產(chǎn)品得到全方位的照顧。

百佳泰全方位測試服務(wù)：

• 手機及APP兼容性測試
• APP功能操作測試
• 網(wǎng)絡(luò)穩(wěn)定測試
• 藍牙?穩(wěn)定測試
• 用戶經(jīng)驗評估

在MWC 2019上Broadband Forum發(fā)表了《TR-398室內(nèi)Wi-Fi性能測試標準》，同時這也是第一份針對Wi-Fi性能所制定的測試標準。在現(xiàn)今有許多產(chǎn)品都須透過Wi-Fi連接上網(wǎng)絡(luò)以取得更多的功能，為了確保聯(lián)機質(zhì)量穩(wěn)定不影響用戶體驗，Wi-Fi的性能表現(xiàn)也越來越重要了。

電視機頂盒使用情境 客制化驗證項目

百佳泰在上次測試中挑選了5臺市售熱銷路由器進行TR-398的測試（點選：TR-398測試用例-市售高端路由器大比拼）。而這一次，我們將利用TR-398的測試概念去驗證目前電視機頂盒（以下簡稱機頂盒）的Wi-Fi 性能表現(xiàn)能力。在本次測試中，百佳泰團隊挑選了3臺支持802.11a/b/g/n/ac的機頂盒，并且從TR-398的11個項目中選出以下4項能符合用戶情境的測試項目：

○多用戶聯(lián)機測試（Maximum Connection Test）

機頂盒與多臺STA同時聯(lián)機傳輸時，機頂盒的傳輸是否穩(wěn)定

○極限性能測試（Maximum Throughput Test）

驗證機頂盒最大Wi-Fi傳輸能力

○覆蓋能力測試（Range Versus Rate Test）

驗證機頂盒在不同距離下的傳輸能力

○關(guān)聯(lián)穩(wěn)定性測試（Multiple Association/Disassociation Stability Test）

驗證機頂盒能否穩(wěn)定傳輸不受其他無線裝置斷線/聯(lián)機影響

圖1：測試架構(gòu)

圖2：測試設(shè)備

實測機頂盒 性能一較高下

圖3：市售3款熱銷機頂盒

◎ 多用戶聯(lián)機測試（Maximum Connection Test）

表1：多用戶聯(lián)機測試結(jié)果

測試目的：這項測試是要模擬機頂盒在實際場域中與多個設(shè)備同時聯(lián)機時，性能還能維持住不被影響。

結(jié)果分析： 從結(jié)果中可以看到B在2.4G Downlink的Packet Error Rate為0.25%和C在5G Downlink的Packet Error Rate為0.63%皆超過0.1%，代表容易受到影響，此現(xiàn)象可能造成機頂盒在播放影片時有延時的狀況發(fā)生。

◎極限性能測試（Maximum Throughput Test）

表2：極限性能測試結(jié)果

測試目的：本項目要量測的是機頂盒在空中短距離的最大吞吐量。

結(jié)果分析：從結(jié)果可看出2.4G時，A的Uplink為43.558, Downlink為38.883。C的Uplink為58.3, Downlink為54。兩者在2.4G的表現(xiàn)差強人意，而B在5G的Downlink時性能表現(xiàn)太低，只有89.585。不過一般4K串流服務(wù)僅需20~50Mbps, 從結(jié)果中來看這些機頂盒其實已足以應(yīng)付大部分4K串流服務(wù)的需求了。

◎覆蓋能力測試（Range Versus Rate Test）

表3：覆蓋能力測試 – 機頂盒A

表4：覆蓋能力測試 – 機頂盒B

表5：覆蓋能力測試– 機頂盒C

圖4：覆蓋能力測試 – 總測試結(jié)果

測試目的：本測項要檢驗的是透過衰減信號的方式仿真機頂盒在不同距離下測量Wi-Fi RF性能。

結(jié)果分析：在這份結(jié)果中可以看到在2.4G的部分，三臺機頂盒的RF性能差異不大，在-60dBm時都還保持聯(lián)機，除了C以外的另外兩臺機頂盒只要信號衰減不超過45dBm就能保有4K畫質(zhì)。而在5G時，僅有C在-24dBm時便出現(xiàn)斷線的情形。A跟B的性能表現(xiàn)得不錯足以滿足一般4K畫質(zhì)需求。

◎關(guān)聯(lián)穩(wěn)定性測試（Multiple Association/Disassociation Stability Test）

表6：關(guān)聯(lián)穩(wěn)定性測試結(jié)果

測試目的：本測項要量測的是在連接狀態(tài)頻繁變化的環(huán)境下Wi-Fi設(shè)備的穩(wěn)定性。

結(jié)果分析：根據(jù)測試結(jié)果我們可以看到A表現(xiàn)最穩(wěn)定Packet Error Rate都為0%，B不論在2.4G或是5G都超過0.1%代表很容易受到影響，C則是只有在5G時容易受到影響有超過0.1%的情形。意味著，若你正在看高清影片，家人的手機或筆記本電腦斷線再重新聯(lián)機時，那么你正在看的串流影片就會出現(xiàn)延時或是畫質(zhì)變差的情況。

TR-398最新應(yīng)用 綜合評比

百佳泰以TR-398的測試檢驗3臺機頂盒的性能表現(xiàn)，從結(jié)果觀察得知，本次3臺機頂盒的綜合表現(xiàn)雖然沒有到非常優(yōu)異，但是針對近距離的情況下，這三臺機頂盒都有不錯的表現(xiàn)，不過在中距離時Ｃ的性能表現(xiàn)嚴重低下，5G部分甚至有斷線情況，遠距離時A跟B雖有可能無法達到4K畫質(zhì)但也足以滿足Full HD串流的需求，而C會有無法聯(lián)機的狀況。

目前一般4K串流的所需流量只須20-50M來說，A跟B這兩臺機頂盒算是及格了，不過以后若發(fā)展出360度互動VR的影音串流時，本次三臺的Wi-Fi性能就完全不夠了。百佳泰作為Wi-Fi聯(lián)盟所指定的測試實驗室（Authorized Test Lab）,能針對您的產(chǎn)品進行客制化性能驗證，透過實測數(shù)據(jù)，實時精進產(chǎn)品性能，從而提高用戶體驗，營造品牌口碑，協(xié)助各大廠商在同類別的產(chǎn)品競爭中奪得市場一席之地。

承接上篇 “ 高頻治具設(shè)計的現(xiàn)況與未來”文章之后，接下來接續(xù)的此篇文章將會對測試時所遇到的實際案例來與大家分享，藉以說明PCB治具設(shè)計過程中有可能被忽略掉的細節(jié)以及所需考慮的要點，驗證百佳泰在高頻治具設(shè)計上所積累的設(shè)計經(jīng)驗，而上一篇的高頻治具設(shè)計的現(xiàn)況與未來文章中有提到百佳泰依據(jù)經(jīng)驗在高頻測試時最常發(fā)生的五點Potential Risks:

百佳泰高頻治具測試實際案例：

為協(xié)助您的產(chǎn)品從開發(fā)初期到上市都能擁有良好的質(zhì)量，百佳泰搜集了實際測試中最常發(fā)生問題的以下三個Potential Risks，以此作為分享:

–Impedance not matching 阻抗不匹配

–Attenuation衰減

–Crosstalk 串音干擾

案例 1: A公司的HDMI 2.1 Receptacle Connector測試時，Receptacle端的CLK Trace阻抗就算為809Ω，但Insertion Loss表現(xiàn)不見得為佳。

Impedance: 95.809Ω（改善前）:??

?Insertion Loss（改善前）：

測試儀器: Keysight E5071C ENA

解決方案: 如同上一篇文章所說過的第2點，客戶連接器加工方式所造成的Insertion Loss影響，重新檢視Receptacle端的焊接問題,即有所改善,所謂眼見不一定為憑，即為此例。

Insertion Loss（改善后）:

測試儀器: Keysight E5071C ENA

案例? 2: B公司的USB3.0 Type A Receptacle connector 其D+ & D- pin SMD pad面積大，焊接時更要注意阻抗匹配的問題，否則容易造成接觸面Impedance偏低的狀況發(fā)生。

D+ & D- connector pin:

改善前:

測試儀器: Tektronix DSA8200 TDR

解決方案: 此例的焊錫量要少，并確保connector pin與PCB pad平貼，才能減低connector pin與PCB pad接觸面 阻抗不匹配的情況發(fā)生。

改善后:

測試儀器: Tektronix DSA8200 TDR

案例 3: C公司的TBT3的 Receptacle connector其RX2_P & RX2_N IRL(Integrated Return Loss)在標準附近未過，PCB阻抗設(shè)計或是connector內(nèi)部設(shè)計都有可能是原因之一。

未達標準:

改善前:

測試儀器: Keysight E5071C ENA

解決方案: 經(jīng)過比對確認,此案例雖然Trace設(shè)計阻抗為50Ω，但實際狀況下阻抗卻不見得會落在50Ω左右，故設(shè)計時可提高PCB設(shè)計阻抗以避免此風(fēng)險。

改善后:

測試儀器: Keysight E5071C ENA

案例 4: D公司的0 Type A Receptacle connector 設(shè)計為pin腳為深入鐵殼內(nèi)的設(shè)計，測試過后此設(shè)計會造成Near End Crosstalk(SS：TX/RX)超過協(xié)會規(guī)范(3.6mV)而fail。

B 公司的連接器:

改善前: 4.1906mV

測試儀器: Keysight E5071C ENA

解決方案: 經(jīng)過驗證，其問題點為鐵殼內(nèi)部的GND所造成，加強內(nèi)外部鐵殼與PCB GND連接其信號完整性才會提高而通過規(guī)范。

改善后: 3.5948mV

測試儀器: Keysight E5071C ENA

全方位高頻治具設(shè)計與測試服務(wù)

通過以上所舉例出的的四個案例，都顯示出高頻設(shè)計上的一些不能輕忽的要點，從設(shè)計規(guī)劃、治具焊接、再到加工方式，每一步的操作都會影響到高頻性能。尤以焊接部分為例，輕則影響信號表現(xiàn)，重則阻抗不匹配或是IL 以及RL不佳而使高頻信號失真，這是在高頻版設(shè)計上所不能輕忽的。百佳泰全方位的高頻治具設(shè)計與測試服務(wù)，能協(xié)助客戶從圖樣設(shè)計、驗證改善、到取得證書一站式到位，使得您的產(chǎn)品高效、快速、高質(zhì)量上市！

若您有關(guān)高頻治具需求請聯(lián)系百佳泰或是參照下列網(wǎng)址來討論或獲得進一步的信息: http://wsmcp.cn/fixture-usb-type-c/

漏洞檢測，您到位了嗎？

APP開發(fā)過程中，信息資產(chǎn)與風(fēng)險管理，是相當重要的一環(huán)，但其實很多公司都沒有專業(yè)的測試人員，出于利潤，大部分公司把時間和金錢都用在對APP的開發(fā)上，缺少了完整的測試檢測環(huán)節(jié)，從而導(dǎo)致APP上線后問題不斷，目前常見的使用平臺為Kali Linux，其中包含多種類型工具供用戶使用，但我們也不局限于此平臺，仍可使用其他工具使測試更加完整。

表一：測試工具及功能

測試平臺

圖一：Kali Linux

系統(tǒng)自帶工具集Kali Linux系統(tǒng)最頂層是十四種安全工具分類，每一個分類有不同的測試工具，以下介紹其中三種類型，分別為信息收集、壓力測試、漏洞分析。

圖二：Kali Linux十四種安全工具分類

1. 信息收集

在滲透測試中，我們需要盡可能收集多一些目標的信息，因為資產(chǎn)探測和信息收集決定了你發(fā)現(xiàn)安全漏洞的機率有多大。如何最大化的去收集目標范圍，盡可能的收集到子域名及相關(guān)域名的信息，這對我們下一步的漏洞測試顯得尤為重要，以下介紹信息收集的實際用例。

用例一：登錄帳戶密碼的暴力破解

I.需要知道的信息有:

-需要破解的主機名或是IP和URL

-區(qū)分是https & http

-登入成功和失敗時返回信息的區(qū)別

II. 使用工具

-Kali Linux 中信息收集的dnsenum，和密碼攻擊中的Hydra

III. 操作步驟

-先使用dnsenum得到目標的IP地址

圖三：獲取目標IP地址

Hydra的指令

Hydra –l 用戶名 –p密碼字典 –t線程-vV –ip ssh

圖四：獲取賬號及密碼

IV. 解決方法

A.動態(tài)登入

需限制登入時間以及登入賬號的次數(shù)，例如: 短信內(nèi)標注有效時長為5min，實際有效時長卻約為30min，對獲取動態(tài)密碼次數(shù)做了限制，但未對密碼暴力破解做任何防護，防止暴力破解密碼的方式。

B. 靜態(tài)登入

需要使用Session去認證登入者的身份，通常在用戶完成身份認證后，存下用戶數(shù)據(jù)，接著產(chǎn)生一組對應(yīng)的id，這個id必須為獨特的，所以會使用uuid的機制處理。

C.雙重驗證

現(xiàn)在也有使用雙重認證的方式去保護使用者的賬戶安全，像是登入Google賬戶，就可以設(shè)定登入之后，Google會發(fā)送一條短信，其中有另外的登入密碼，也可選擇語音的方式得知登入密碼，更加保護了帳戶安全

D.禁止密碼輸入頻率過高的請求

當同一來源的密碼輸入出錯次數(shù)超過一定的值，立即通過郵件或者短信等方式通知系統(tǒng)管理員

2.壓力測試

壓力測試在大型系統(tǒng)的設(shè)計和開發(fā)中非常重要，壓力測試可以幫助我們發(fā)現(xiàn)系統(tǒng)的性能且評估系統(tǒng)能力，且進行針對性的性能優(yōu)化，也可以幫助我們驗證系統(tǒng)的穩(wěn)定性和可靠性。除了Kali Linux以外，還有以下常見工具:

圖五：ApacheBench

ApacheBench的測試，可以輕易的模擬 1,000以上 使用者的同時聯(lián)機(concurrent users) 測試，輸出的測試結(jié)果也相當清楚。并且不局限于linux操作系統(tǒng)，可以在Windows上安裝，以下為壓力測試實際用例:

用例二：壓力測試

I.使用工具

-ApacheBench

II.操作步驟

-先到Apache的文件夾位置，執(zhí)行ab.exe，語法為ab –n 100 –c 10 {url}

圖六：壓力測試執(zhí)行ab.exe

得到測試結(jié)果

圖七：壓力測試測試結(jié)果

字段講解如下:

Server Software: WEB主機的操作系統(tǒng)與版本(若web主機設(shè)定關(guān)閉此信息則無)

Server Hostname: WEB主機的IP地址(Hostname)

Server Port: WEB主機的連接阜(Port)

Document Path:測試網(wǎng)址的路徑部分

Document Length:測試網(wǎng)頁響應(yīng)的網(wǎng)頁大小

Concurrency Level:同時進行壓力測試的人數(shù)

Time taken for tests:本次壓力測試所花費的秒數(shù)

Complete requests:完成的要求數(shù)(Requests)

Failed requests:失敗的要求數(shù)(Requests)

Write errors:寫入失敗的數(shù)量

Total transferred:本次壓力測試的總數(shù)據(jù)傳輸量(包括HTTP Header的數(shù)據(jù)也計算在內(nèi))

HTML transferred:本次壓力測試的總數(shù)據(jù)傳輸量(僅計算回傳HTML的數(shù)據(jù))

Requests per second:平均每秒可響應(yīng)多少要求

Time per request:平均每個要求所花費的時間(單位:毫秒)

Time per request:平均每個要求所花費的時間，跨所有同時聯(lián)機數(shù)的平均值(單位:毫秒)

Transfer rate:從ab到Web Server之間的網(wǎng)絡(luò)傳輸速度

3.漏洞分析

漏洞分析是指在代碼中迅速定位漏洞，弄清攻擊原理，準確地估計潛在的漏洞利用方式和風(fēng)險等級的過程。我們將使用Nessus這項工具，這套工具能夠幫助系統(tǒng)管理者搜尋系統(tǒng)主機的漏洞所在，用戶可自行撰寫攻擊測試程序，且讓系統(tǒng)管理者對系統(tǒng)主機進行錯誤的更正和防護，以避免被入侵者攻擊，以下為弱點掃描流程

圖八：弱點掃描流程

用例三：掃描本機漏洞

I. 使用工具

-Nessus

II.操作步驟

圖九：Nessus開始界面

Nessus基本流程為（1）登錄，（2）創(chuàng)建或配置策略，（3）運行掃描，（4）分析結(jié)果，根據(jù)掃描要求，選擇配置策略，也就是可以在目標上執(zhí)行的漏洞測試，Nessus提供的掃描模板。

圖十：Nessus掃描模板

建立策略

名稱為Local Vulnerability Assessment

目標為本機地址: 192.168.18.149

圖十一：Nessus建立策略

啟動屏幕

圖十二：Nessus啟動屏幕

圖十三：掃描結(jié)果

點選本機的漏洞情況，可以查看詳細漏洞信息，并且會提供解決方法

圖十四：漏洞情況

漏洞描述為:遠程主機受遠程桌面協(xié)議(RDP)中的遠程執(zhí)行代碼漏洞影響。未經(jīng)身份驗證的遠程攻擊者可以通過一系列特制請求來利用此漏洞來執(zhí)行任意的代碼，也可匯出一份PDF檔，提供解決方法

安全風(fēng)險一站式測試方案

針對信息安全、網(wǎng)頁和APP，可提供以下測試方案:

1. 資料安全檢查

檢視內(nèi)部作業(yè)提供改善建議，提升資料安全防護能力

2. 漏洞偵測分析

WEB主機或系統(tǒng)做安全掃描，提供結(jié)果并協(xié)助修正

3. 壓力測試

WEB壓力測試，在同一時間能有多少人在在線，檢視WEB的負載能力

測試常見問題，一對一解析

1. 滲透測試有標準流程嗎?

有的，請參考下列三個由幾個開源組織制定的滲透測試標準流程

OWASP ( Open Web Application Security Project )

OSSTMM (Open Source Security Testing Methodology Manual)

PTES ( Penetration Testing Execution Standard )

2. 滲透測試執(zhí)行完畢后就完全沒有問題了嗎?

由于黑客攻擊手法層出不窮，即使系統(tǒng)不進行任何更動，也難以保證未來不會被新的方式入侵，因此仍建議客戶定期執(zhí)行測試。

3. 滲透測試與弱點掃描的差異?

滲透測試是以人工方式模擬黑客的思維，針對系統(tǒng)做攻擊測試，比較考驗測試人員本身的經(jīng)驗以及知識，弱點掃描則是使用自動化工具對系統(tǒng)進行檢測，找出所有已知的風(fēng)險。

百佳泰安全風(fēng)險檢測服務(wù)阻擋虛擬世界的威脅

在虛擬世界中，安全漏洞風(fēng)險無處不在，百佳泰能夠模擬黑客攻擊的手段對各類系統(tǒng)進行安全檢測，并評估其風(fēng)險，提供解決方案。在產(chǎn)品、APP及網(wǎng)頁上市前，針對其使用特性及用戶情景，提出客制化的安全風(fēng)險檢測，透過全面性、多樣性的測試方式及測試手法，替您的產(chǎn)品、APP及網(wǎng)頁做資安把關(guān)。除此之外，百佳泰亦有針對物聯(lián)網(wǎng)裝置的檢測服務(wù)，可點閱：物聯(lián)網(wǎng)無線應(yīng)用之安全風(fēng)險：您的智能裝置真的安全嗎？（可點擊：物聯(lián)網(wǎng)無線應(yīng)用之安全風(fēng)險：您的智能裝置真的安全嗎？）避免裝置被破解，導(dǎo)致數(shù)據(jù)被竊取等隱患問題。