51Testing软件测试论坛

标题: 一个安全测试的CheckList [打印本页]

作者: houzeal    时间: 2009-6-24 17:50
标题: 一个安全测试的CheckList
1.        不登录系统,直接输入登录后的页面的URL是否可以访问;
2.        不登录系统,直接输入下载文件的URL是否可以下载文件;
如输入:http://url/download?name=file是否可以下载文件file
3.        退出登录后,后退按钮能否访问之前的页面;
4.        ID/密码验证方式中能否使用简单密码;
如密码标准为6位以上,字母和数字的组合,不包含ID,连接的字母或数字不能超过n位
5.        ID/密码验证方式中,同一个帐号在不同的机器上不同时登录
6.        ID/密码验证方式中,连续数次输入错误密码后该帐户是否被锁定
7.        重要信息(如密码,身份证,信用卡号等)在输入或者查询时是否明文显示;
在浏览器地址栏中输入命令javascript:alert(doucument.cookie)时是否有重要信息;
在html源码中能否看到重要信息;
8.        手动更改URL中的参数值能否访问没有权限访问的页面。
如普通用户对应的URL中的参数为l=e,高级用户对应的URL中的参数为l=s,以普通用户的身份登录系统后将URL中的参数e改为s来访问没有权限访问的页面
9.        URL里不可修改的参数是否可以被修改;
10.        上传与服务器端语言(jsp,asp,php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行
11.        注册用户时是否可以以‘--’or1=1—等做为用户名
12.        传送给服务器的参数(如查询关键字,URL中的参数等)中包含特殊字符(‘.’and1=1--.‘and1=0--.’.‘or 1=0--)时是否可以正常处理
13.        执行新增操作时,在所有的输入框中输入脚本标签(<script>alert(“”)</script>)后能否保存;
14.        新增或修改重要信息(密码,身份证号码,信用卡号等)时是否有自动完成功能
(在form标签中使用autocomplete=0来关闭自动完成功能)
15.        在URL中输入下面的地址是否可以下载
http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password
16.        是否对session的有效期进行处理
17.        错误信息中是否含有SQL语句,SQL错误信息以及web服务器的绝对路径的等
作者: navy2008    时间: 2009-6-29 12:08
学习了,谢谢分享!!
作者: qqitong    时间: 2009-7-3 10:12
非常感谢
作者: pleo    时间: 2009-8-6 17:20
SO 謝謝分享
作者: lisa2008    时间: 2009-8-7 09:56
谢谢,比较全面了。
作者: jiang8640    时间: 2010-1-7 11:25
比较具体  好操作   顶
作者: aman_cao    时间: 2010-1-12 14:03
好贴,收藏
作者: 张涵    时间: 2010-6-8 12:21
哇塞,真的可以找到CheckList
作者: 风中劲草    时间: 2011-1-31 15:29
好贴,顶!!
作者: ruirui。    时间: 2011-4-13 12:52
支持下~
作者: lemon1209    时间: 2011-4-18 10:37
好东西,学习了
作者: aishasha    时间: 2011-5-9 09:41
谢谢分享,学习了~
作者: wangminmin    时间: 2011-7-3 19:08
帮助不少,谢谢!
作者: guliang123    时间: 2011-9-14 15:04
不错,很有学习参考价值
作者: guliang123    时间: 2011-9-14 15:04
不错,很有学习参考价值
作者: moyiyun    时间: 2011-11-4 10:21
不错不错!copy下来啦!
作者: 蜗牛来了    时间: 2011-11-4 14:40
非常感谢,收藏并转载了
作者: hewitt0122    时间: 2012-2-20 16:52
非常不错,收了。
作者: cherrycl2008    时间: 2012-3-3 16:11
不错,学习了。谢谢楼主
作者: voilete    时间: 2012-3-19 14:04
收了
作者: paopaobing    时间: 2012-5-3 13:59
谢谢楼主分享!
作者: paopaobing    时间: 2012-5-3 13:59
谢谢楼主分享!
作者: 街舞无限    时间: 2012-5-4 13:35
也是支持,我代表大家顶你了











www.hiphopmax.com  石家庄街舞 石家庄爵士舞 石家庄婚庆 石家庄影视表演
www.hiphopmax.cn www.xihawuxian.com
作者: 呢呢8801    时间: 2012-6-13 15:56

作者: liujinkui    时间: 2013-2-26 11:09
可共参考,但现在利用工具已经可以覆盖了
作者: libingyu135    时间: 2014-1-16 16:14
( ⊙o⊙ )哇,谢谢,好有用的
作者: liusiyan    时间: 2014-1-24 09:40
好贴,学习了
作者: mugan    时间: 2014-2-9 15:58
回复 1# houzeal


    学习了,不错!
作者: f_a36    时间: 2014-5-29 10:55
学习了,已收藏。
作者: f_a36    时间: 2014-5-29 10:55
学习了,已收藏。
作者: 木犀源    时间: 2014-6-3 14:49
学习了
作者: 笑痴情    时间: 2014-7-17 08:44
太感谢了!支持一下!
作者: cocoshimly    时间: 2014-7-18 15:58
好贴,多谢楼主分享
作者: lovealina    时间: 2015-2-25 10:27
必须支持下!
作者: 379952388    时间: 2015-4-16 16:52
好贴,顶一下
作者: 嘴角上扬45度    时间: 2015-5-12 14:43
赞一个,之前测试都没有想这些方面
作者: jasky1688    时间: 2015-6-17 16:34
不错不错,顶实用的好贴
作者: malylian    时间: 2015-7-22 15:37
学习了,楼主怎么总结啊?
作者: samjohty    时间: 2015-8-11 13:11
学到东西了,最近需要这个,真的非常感谢!
作者: junint    时间: 2015-8-18 09:06
收藏,
作者: xu0918    时间: 2015-9-30 17:13
感谢!
作者: xsjccit    时间: 2016-1-19 09:37
我顶
作者: log    时间: 2016-1-26 14:02
很实用,学习一下
作者: 柠檬白开水    时间: 2016-1-26 16:55
啊~~“退出登录后,后退按钮能否访问之前的页面;” 大部分的社交网站都是这样的呢,这条是指某些安全性要求高的网站吗
作者: 你有病    时间: 2016-1-27 09:00
正好学习,感谢分享
作者: liuheng1    时间: 2016-2-16 16:00
真心不错,希望咱们一起边学习边追加,更完善:我追加2条
18、检查web访问端口是否为8080,8080默认端口容易入侵;
19、tomcat服务器manager权限用户及密码需要在配置文件中修改,默认是tomcat/tomcat,这个众所周知,需要进行修改,否则tomcat用户可以随意启、停、部署、卸载应用(war包应用)
另外以下2点没有看懂,请帮我理解下,谢谢!
9、URL里不可修改的参数是否可以被修改;
14、新增或修改重要信息(密码,身份证号码,信用卡号等)时是否有自动完成功能
作者: 空灵dj    时间: 2016-3-14 14:28
感谢分享~
作者: whm51test    时间: 2016-5-17 10:39
谢谢啦,很清楚很不错,非常感谢
作者: fhhh_eyou    时间: 2016-7-6 14:01
谢谢您的分享
作者: aiyaqingqing    时间: 2016-8-3 19:03
谢谢,很全面呢
作者: iujed    时间: 2016-8-28 08:07
我来看看!谢谢
作者: 飘落的记忆    时间: 2017-1-12 15:16
收藏了
作者: 飘落的记忆    时间: 2017-1-12 15:17
收藏了
作者: 1757927530    时间: 2017-4-5 15:24
谢谢
作者: green032    时间: 2017-8-15 11:31
学习一下,多谢楼主分享




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2