51Testing软件测试论坛
标题:
一个安全测试的CheckList
[打印本页]
作者:
houzeal
时间:
2009-6-24 17:50
标题:
一个安全测试的CheckList
1. 不登录系统,直接输入登录后的页面的URL是否可以访问;
2. 不登录系统,直接输入下载文件的URL是否可以下载文件;
如输入:http://url/download?name=file是否可以下载文件file
3. 退出登录后,后退按钮能否访问之前的页面;
4. ID/密码验证方式中能否使用简单密码;
如密码标准为6位以上,字母和数字的组合,不包含ID,连接的字母或数字不能超过n位
5. ID/密码验证方式中,同一个帐号在不同的机器上不同时登录
6. ID/密码验证方式中,连续数次输入错误密码后该帐户是否被锁定
7. 重要信息(如密码,身份证,信用卡号等)在输入或者查询时是否明文显示;
在浏览器地址栏中输入命令javascript:alert(doucument.cookie)时是否有重要信息;
在html源码中能否看到重要信息;
8. 手动更改URL中的参数值能否访问没有权限访问的页面。
如普通用户对应的URL中的参数为l=e,高级用户对应的URL中的参数为l=s,以普通用户的身份登录系统后将URL中的参数e改为s来访问没有权限访问的页面
9. URL里不可修改的参数是否可以被修改;
10. 上传与服务器端语言(jsp,asp,php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行
11. 注册用户时是否可以以‘--’or1=1—等做为用户名
12. 传送给服务器的参数(如查询关键字,URL中的参数等)中包含特殊字符(‘.’and1=1--.‘and1=0--.’.‘or 1=0--)时是否可以正常处理
13. 执行新增操作时,在所有的输入框中输入脚本标签(<script>alert(“”)</script>)后能否保存;
14. 新增或修改重要信息(密码,身份证号码,信用卡号等)时是否有自动完成功能
(在form标签中使用autocomplete=0来关闭自动完成功能)
15. 在URL中输入下面的地址是否可以下载
http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password
16. 是否对session的有效期进行处理
17. 错误信息中是否含有SQL语句,SQL错误信息以及web服务器的绝对路径的等
作者:
navy2008
时间:
2009-6-29 12:08
学习了,谢谢分享!!
作者:
qqitong
时间:
2009-7-3 10:12
非常感谢
作者:
pleo
时间:
2009-8-6 17:20
SO 謝謝分享
作者:
lisa2008
时间:
2009-8-7 09:56
谢谢,比较全面了。
作者:
jiang8640
时间:
2010-1-7 11:25
比较具体 好操作 顶
作者:
aman_cao
时间:
2010-1-12 14:03
好贴,收藏
作者:
张涵
时间:
2010-6-8 12:21
哇塞,真的可以找到CheckList
作者:
风中劲草
时间:
2011-1-31 15:29
好贴,顶!!
作者:
ruirui。
时间:
2011-4-13 12:52
支持下~
作者:
lemon1209
时间:
2011-4-18 10:37
好东西,学习了
作者:
aishasha
时间:
2011-5-9 09:41
谢谢分享,学习了~
作者:
wangminmin
时间:
2011-7-3 19:08
帮助不少,谢谢!
作者:
guliang123
时间:
2011-9-14 15:04
不错,很有学习参考价值
作者:
guliang123
时间:
2011-9-14 15:04
不错,很有学习参考价值
作者:
moyiyun
时间:
2011-11-4 10:21
不错不错!copy下来啦!
作者:
蜗牛来了
时间:
2011-11-4 14:40
非常感谢,收藏并转载了
作者:
hewitt0122
时间:
2012-2-20 16:52
非常不错,收了。
作者:
cherrycl2008
时间:
2012-3-3 16:11
不错,学习了。谢谢楼主
作者:
voilete
时间:
2012-3-19 14:04
收了
作者:
paopaobing
时间:
2012-5-3 13:59
谢谢楼主分享!
作者:
paopaobing
时间:
2012-5-3 13:59
谢谢楼主分享!
作者:
街舞无限
时间:
2012-5-4 13:35
也是支持,我代表大家顶你了
www.hiphopmax.com
石家庄街舞
石家庄爵士舞
石家庄婚庆
石家庄影视表演
www.hiphopmax.cn
www.xihawuxian.com
作者:
呢呢8801
时间:
2012-6-13 15:56
作者:
liujinkui
时间:
2013-2-26 11:09
可共参考,但现在利用工具已经可以覆盖了
作者:
libingyu135
时间:
2014-1-16 16:14
( ⊙o⊙ )哇,谢谢,好有用的
作者:
liusiyan
时间:
2014-1-24 09:40
好贴,学习了
作者:
mugan
时间:
2014-2-9 15:58
回复
1#
houzeal
学习了,不错!
作者:
f_a36
时间:
2014-5-29 10:55
学习了,已收藏。
作者:
f_a36
时间:
2014-5-29 10:55
学习了,已收藏。
作者:
木犀源
时间:
2014-6-3 14:49
学习了
作者:
笑痴情
时间:
2014-7-17 08:44
太感谢了!支持一下!
作者:
cocoshimly
时间:
2014-7-18 15:58
好贴,多谢楼主分享
作者:
lovealina
时间:
2015-2-25 10:27
必须支持下!
作者:
379952388
时间:
2015-4-16 16:52
好贴,顶一下
作者:
嘴角上扬45度
时间:
2015-5-12 14:43
赞一个,之前测试都没有想这些方面
作者:
jasky1688
时间:
2015-6-17 16:34
不错不错,顶实用的好贴
作者:
malylian
时间:
2015-7-22 15:37
学习了,楼主怎么总结啊?
作者:
samjohty
时间:
2015-8-11 13:11
学到东西了,最近需要这个,真的非常感谢!
作者:
junint
时间:
2015-8-18 09:06
收藏,
作者:
xu0918
时间:
2015-9-30 17:13
感谢!
作者:
xsjccit
时间:
2016-1-19 09:37
我顶
作者:
log
时间:
2016-1-26 14:02
很实用,学习一下
作者:
柠檬白开水
时间:
2016-1-26 16:55
啊~~“退出登录后,后退按钮能否访问之前的页面;” 大部分的社交网站都是这样的呢,这条是指某些安全性要求高的网站吗
作者:
你有病
时间:
2016-1-27 09:00
正好学习,感谢分享
作者:
liuheng1
时间:
2016-2-16 16:00
真心不错,希望咱们一起边学习边追加,更完善:我追加2条
18、检查web访问端口是否为8080,8080默认端口容易入侵;
19、tomcat服务器manager权限用户及密码需要在配置文件中修改,默认是tomcat/tomcat,这个众所周知,需要进行修改,否则tomcat用户可以随意启、停、部署、卸载应用(war包应用)
另外以下2点没有看懂,请帮我理解下,谢谢!
9、URL里不可修改的参数是否可以被修改;
14、新增或修改重要信息(密码,身份证号码,信用卡号等)时是否有自动完成功能
作者:
空灵dj
时间:
2016-3-14 14:28
感谢分享~
作者:
whm51test
时间:
2016-5-17 10:39
谢谢啦,很清楚很不错,非常感谢
作者:
fhhh_eyou
时间:
2016-7-6 14:01
谢谢您的分享
作者:
aiyaqingqing
时间:
2016-8-3 19:03
谢谢,很全面呢
作者:
iujed
时间:
2016-8-28 08:07
我来看看!谢谢
作者:
飘落的记忆
时间:
2017-1-12 15:16
收藏了
作者:
飘落的记忆
时间:
2017-1-12 15:17
收藏了
作者:
1757927530
时间:
2017-4-5 15:24
谢谢
作者:
green032
时间:
2017-8-15 11:31
学习一下,多谢楼主分享
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2