51Testing软件测试论坛

标题: 软件测试技术之Web安全性测试简述 [打印本页]

作者: lsekfe 时间: 2022-3-10 10:04
标题: 软件测试技术之Web安全性测试简述
　Web安全测试
　　1.登录用户名需要限制输入大小写。
　　2.登录密码要隐文显示。
　　3.密码不支持复制粘贴。
　　4.登录密码在数据库中不能明文显示。
　　5.登录失败需要限制登录次数（暴力破解）。
　　6.登录需要添加唯一识别标志(避免CSRF 攻击）。
　　7.登录用户名和密码不允许进行XSS攻击(,显示文本框)。
　　8.登录用户名和密码输入框不允许进行SQL注入 or 1=1。
　　9.登录成功过cookie中是否保存用户名密码需要进行加密。
　　10.输入任意权限的url链接，可以绕过登录界面(访问控制)。
　　11.登录成功，进行浏览器后退操作，在进行浏览器前进操作，未跳转到登录页面。
　　12.Session的失效时间未进行限制。
　　13.修改上传文件的后缀名为.php格式文件。
　　14.修改上传文件的Content-Type类型。
　　15.修改上传文件为截断上传的格式hack.asp%00.jpg文件。
　　16.修改上传文件格式为/a.asp/xxxxx.jpg文件。
　　17.验证对文件扩展名的处理方式以使得.exe文件不能上传到服务器或在服务器上执行。
　　18.输入特殊字符数据，校验系统是否报错。
　　19.异常数据显示代码（信息泄露）。
　　20.任意文件下载（修改文件下载链接，更改下载链接的参数，进行下载操作）。
　　21.修改密码操作，修改的密码需要进行加密处理。
　　22.验证码明文传输人，验证码后台未校验。
　　23.验证码重复发送多次10/20/50次，验证码发送次数无限制。
　　24.登陆–〉退出–〉再次登陆(使用同一个账号) 查看set-cookie信息未更新。
　　25.水平越权验证，将有权限的用户id修改无权限的用户id（权限控制）。

作者: 千里 时间: 2022-3-11 16:46
安全性测试越来越被重视了

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)