51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2231|回复: 1
打印 上一主题 下一主题

测试技术分享“登录页面安全测试点”

[复制链接]
  • TA的每日心情
    无聊
    5 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-11-18 13:56:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    用户名、密码
      1、检查密码数据中是否加密存贮;
      2、检查密码在传输过程中是否加密,接口或日志中;
      3、检查密码是否设置强度校验;
      4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录;
      5、检查是否有记住密码功能,记住密码是否有有效期,过期后是否需要重新登录;
      6、检查密码输入框是否支持复制粘贴;
      7、检查密码输入框输入密码后在源码模式下是否可被查看;
      8、检查用户名和密码输入框是否存在典型的“SQL注入攻击”,用户名或密码输入: ’or 1=1;
      9、检查用户名和密码输入框是否存在典型的“跨站脚本攻击测试”,嵌入<script>alert(test)</script>验证是否会被篡改。
      验证码
      1、检查登陆页面是否存在验证码;
      2、检查是否可以绕开验证码登录;
      3、检查验证码是否有规律;
      4、检查验证码是否可通过html源码查看到;
      5、检查验证码使用一次后是否还有效;
      6、检查验证码的时效性;
      7、检查验证码图片中背景是否存在无规律的点或线条;
      8、检查页面刷新,验证码是否变化。
      其它
      1、检查多次登录失败的情况下,是否会上锁;
      2、检查同一用户在同一浏览器、不同浏览器上同时登录是否存在互斥情况;
      3、检查登录成功后复制URL,在其它浏览器中直接录入,是否可直接登录;
      4、检查登录失败后的提示,是否存在信息泄露,eg:输入不存在的用户名,提示用户名无效;
      5、检查用户名、密码、验证码一致性校验,是否同时提交给服务端验证,分开提交、分开验证会存在漏洞
      6、检查token失效后,系统是否会强制退出。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 05:16 , Processed in 0.060923 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表