51Testing软件测试论坛

标题: 测试技术分享“登录页面安全测试点” [打印本页]

作者: lsekfe    时间: 2022-11-18 13:56
标题: 测试技术分享“登录页面安全测试点”
用户名、密码
  1、检查密码数据中是否加密存贮;
  2、检查密码在传输过程中是否加密,接口或日志中;
  3、检查密码是否设置强度校验;
  4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录;
  5、检查是否有记住密码功能,记住密码是否有有效期,过期后是否需要重新登录;
  6、检查密码输入框是否支持复制粘贴;
  7、检查密码输入框输入密码后在源码模式下是否可被查看;
  8、检查用户名和密码输入框是否存在典型的“SQL注入攻击”,用户名或密码输入: ’or 1=1;
  9、检查用户名和密码输入框是否存在典型的“跨站脚本攻击测试”,嵌入<script>alert(test)</script>验证是否会被篡改。
  验证码
  1、检查登陆页面是否存在验证码;
  2、检查是否可以绕开验证码登录;
  3、检查验证码是否有规律;
  4、检查验证码是否可通过html源码查看到;
  5、检查验证码使用一次后是否还有效;
  6、检查验证码的时效性;
  7、检查验证码图片中背景是否存在无规律的点或线条;
  8、检查页面刷新,验证码是否变化。
  其它
  1、检查多次登录失败的情况下,是否会上锁;
  2、检查同一用户在同一浏览器、不同浏览器上同时登录是否存在互斥情况;
  3、检查登录成功后复制URL,在其它浏览器中直接录入,是否可直接登录;
  4、检查登录失败后的提示,是否存在信息泄露,eg:输入不存在的用户名,提示用户名无效;
  5、检查用户名、密码、验证码一致性校验,是否同时提交给服务端验证,分开提交、分开验证会存在漏洞
  6、检查token失效后,系统是否会强制退出。


作者: oliver.tang    时间: 2024-1-15 13:46
感谢分享




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2