51Testing软件测试论坛

标题: 一个安全测试的CheckList [打印本页]

作者: houzeal 时间: 2009-6-24 17:50
标题: 一个安全测试的CheckList
1. 不登录系统，直接输入登录后的页面的URL是否可以访问；
2. 不登录系统，直接输入下载文件的URL是否可以下载文件；
如输入：http://url/download?name=file是否可以下载文件file
3. 退出登录后，后退按钮能否访问之前的页面；
4. ID/密码验证方式中能否使用简单密码；
如密码标准为6位以上，字母和数字的组合，不包含ID，连接的字母或数字不能超过n位
5. ID/密码验证方式中，同一个帐号在不同的机器上不同时登录
6. ID/密码验证方式中，连续数次输入错误密码后该帐户是否被锁定
7. 重要信息（如密码，身份证，信用卡号等）在输入或者查询时是否明文显示；
在浏览器地址栏中输入命令javascript:alert(doucument.cookie)时是否有重要信息；
在html源码中能否看到重要信息；
8. 手动更改URL中的参数值能否访问没有权限访问的页面。
如普通用户对应的URL中的参数为l＝e，高级用户对应的URL中的参数为l＝s，以普通用户的身份登录系统后将URL中的参数e改为s来访问没有权限访问的页面
9. URL里不可修改的参数是否可以被修改；
10. 上传与服务器端语言（jsp，asp，php）一样扩展名的文件或exe等可执行文件后，确认在服务器端是否可直接运行
11. 注册用户时是否可以以‘--’or1＝1—等做为用户名
12. 传送给服务器的参数（如查询关键字，URL中的参数等）中包含特殊字符（‘.’and1＝1--.‘and1＝0--.’.‘or 1＝0--）时是否可以正常处理
13. 执行新增操作时，在所有的输入框中输入脚本标签（<script>alert(“”)</script>）后能否保存；
14. 新增或修改重要信息（密码，身份证号码，信用卡号等）时是否有自动完成功能
（在form标签中使用autocomplete＝0来关闭自动完成功能）
15. 在URL中输入下面的地址是否可以下载
http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password
16. 是否对session的有效期进行处理
17. 错误信息中是否含有SQL语句，SQL错误信息以及web服务器的绝对路径的等

作者: navy2008 时间: 2009-6-29 12:08
学习了，谢谢分享！！

作者: qqitong 时间: 2009-7-3 10:12
非常感谢

作者: pleo 时间: 2009-8-6 17:20
SO 謝謝分享

作者: lisa2008 时间: 2009-8-7 09:56

谢谢，比较全面了。

作者: jiang8640 时间: 2010-1-7 11:25
比较具体好操作顶

作者: aman_cao 时间: 2010-1-12 14:03
好贴，收藏

作者: 张涵 时间: 2010-6-8 12:21
哇塞，真的可以找到CheckList

作者: 风中劲草 时间: 2011-1-31 15:29
好贴，顶！！

作者: ruirui。 时间: 2011-4-13 12:52
支持下~

作者: lemon1209 时间: 2011-4-18 10:37
好东西，学习了

作者: aishasha 时间: 2011-5-9 09:41
谢谢分享，学习了~

作者: wangminmin 时间: 2011-7-3 19:08
帮助不少，谢谢！

作者: guliang123 时间: 2011-9-14 15:04
不错，很有学习参考价值

作者: moyiyun 时间: 2011-11-4 10:21
不错不错！copy下来啦！

作者: 蜗牛来了 时间: 2011-11-4 14:40
非常感谢，收藏并转载了

作者: hewitt0122 时间: 2012-2-20 16:52
非常不错，收了。

作者: cherrycl2008 时间: 2012-3-3 16:11
不错，学习了。谢谢楼主

作者: voilete 时间: 2012-3-19 14:04
收了

作者: paopaobing 时间: 2012-5-3 13:59
谢谢楼主分享！

作者: 街舞无限 时间: 2012-5-4 13:35
也是支持，我代表大家顶你了

www.hiphopmax.com 石家庄街舞　石家庄爵士舞　石家庄婚庆　石家庄影视表演
www.hiphopmax.cn www.xihawuxian.com

作者: 呢呢8801 时间: 2012-6-13 15:56

作者: liujinkui 时间: 2013-2-26 11:09
可共参考，但现在利用工具已经可以覆盖了

作者: libingyu135 时间: 2014-1-16 16:14
( ⊙o⊙ )哇，谢谢，好有用的

作者: liusiyan 时间: 2014-1-24 09:40
好贴，学习了

作者: mugan 时间: 2014-2-9 15:58
回复 1# houzeal

学习了，不错！

作者: f_a36 时间: 2014-5-29 10:55
学习了，已收藏。

作者: 木犀源 时间: 2014-6-3 14:49
学习了

作者: 笑痴情 时间: 2014-7-17 08:44
太感谢了！支持一下！

作者: cocoshimly 时间: 2014-7-18 15:58
好贴，多谢楼主分享

作者: lovealina 时间: 2015-2-25 10:27
必须支持下！

作者: 379952388 时间: 2015-4-16 16:52
好贴，顶一下

作者: 嘴角上扬45度 时间: 2015-5-12 14:43
赞一个，之前测试都没有想这些方面

作者: jasky1688 时间: 2015-6-17 16:34
不错不错，顶实用的好贴

作者: malylian 时间: 2015-7-22 15:37
学习了，楼主怎么总结啊？

作者: samjohty 时间: 2015-8-11 13:11
学到东西了，最近需要这个，真的非常感谢！

作者: junint 时间: 2015-8-18 09:06
收藏，

作者: xu0918 时间: 2015-9-30 17:13
感谢！

作者: xsjccit 时间: 2016-1-19 09:37
我顶

作者: log 时间: 2016-1-26 14:02
很实用，学习一下

作者: 柠檬白开水 时间: 2016-1-26 16:55
啊~~“退出登录后，后退按钮能否访问之前的页面；” 大部分的社交网站都是这样的呢，这条是指某些安全性要求高的网站吗

作者: 你有病 时间: 2016-1-27 09:00
正好学习，感谢分享

作者: liuheng1 时间: 2016-2-16 16:00
真心不错，希望咱们一起边学习边追加，更完善：我追加2条
18、检查web访问端口是否为8080，8080默认端口容易入侵；
19、tomcat服务器manager权限用户及密码需要在配置文件中修改,默认是tomcat/tomcat,这个众所周知，需要进行修改，否则tomcat用户可以随意启、停、部署、卸载应用（war包应用）
另外以下2点没有看懂，请帮我理解下，谢谢!
9、URL里不可修改的参数是否可以被修改；
14、新增或修改重要信息（密码，身份证号码，信用卡号等）时是否有自动完成功能

作者: 空灵dj 时间: 2016-3-14 14:28
感谢分享~

作者: whm51test 时间: 2016-5-17 10:39
谢谢啦，很清楚很不错，非常感谢

作者: fhhh_eyou 时间: 2016-7-6 14:01
谢谢您的分享

作者: aiyaqingqing 时间: 2016-8-3 19:03
谢谢，很全面呢

作者: iujed 时间: 2016-8-28 08:07
我来看看！谢谢

作者: 飘落的记忆 时间: 2017-1-12 15:16
收藏了

作者: 飘落的记忆 时间: 2017-1-12 15:17
收藏了

作者: 1757927530 时间: 2017-4-5 15:24
谢谢

作者: green032 时间: 2017-8-15 11:31
学习一下，多谢楼主分享

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)