测试技术分享“登录页面安全测试点”
用户名、密码1、检查密码数据中是否加密存贮;
2、检查密码在传输过程中是否加密,接口或日志中;
3、检查密码是否设置强度校验;
4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录;
5、检查是否有记住密码功能,记住密码是否有有效期,过期后是否需要重新登录;
6、检查密码输入框是否支持复制粘贴;
7、检查密码输入框输入密码后在源码模式下是否可被查看;
8、检查用户名和密码输入框是否存在典型的“SQL注入攻击”,用户名或密码输入: ’or 1=1;
9、检查用户名和密码输入框是否存在典型的“跨站脚本攻击测试”,嵌入<script>alert(test)</script>验证是否会被篡改。
验证码
1、检查登陆页面是否存在验证码;
2、检查是否可以绕开验证码登录;
3、检查验证码是否有规律;
4、检查验证码是否可通过html源码查看到;
5、检查验证码使用一次后是否还有效;
6、检查验证码的时效性;
7、检查验证码图片中背景是否存在无规律的点或线条;
8、检查页面刷新,验证码是否变化。
其它
1、检查多次登录失败的情况下,是否会上锁;
2、检查同一用户在同一浏览器、不同浏览器上同时登录是否存在互斥情况;
3、检查登录成功后复制URL,在其它浏览器中直接录入,是否可直接登录;
4、检查登录失败后的提示,是否存在信息泄露,eg:输入不存在的用户名,提示用户名无效;
5、检查用户名、密码、验证码一致性校验,是否同时提交给服务端验证,分开提交、分开验证会存在漏洞;
6、检查token失效后,系统是否会强制退出。
感谢分享
页:
[1]
