测试技术分享“登录页面安全测试点”

lsekfe

用户名、密码
　　1、检查密码数据中是否加密存贮；
　　2、检查密码在传输过程中是否加密，接口或日志中；
　　3、检查密码是否设置强度校验；
　　4、检查密码是否有有效期，有效期到后是否提示修改，不修改是否无法正常登录；
　　5、检查是否有记住密码功能，记住密码是否有有效期，过期后是否需要重新登录；
　　6、检查密码输入框是否支持复制粘贴；
　　7、检查密码输入框输入密码后在源码模式下是否可被查看；
　　8、检查用户名和密码输入框是否存在典型的“SQL注入攻击”，用户名或密码输入： ’or 1=1；
　　9、检查用户名和密码输入框是否存在典型的“跨站脚本攻击测试”，嵌入<script>alert(test)</script>验证是否会被篡改。
　　验证码
　　1、检查登陆页面是否存在验证码；
　　2、检查是否可以绕开验证码登录；
　　3、检查验证码是否有规律；
　　4、检查验证码是否可通过html源码查看到；
　　5、检查验证码使用一次后是否还有效；
　　6、检查验证码的时效性；
　　7、检查验证码图片中背景是否存在无规律的点或线条；
　　8、检查页面刷新，验证码是否变化。
　　其它
　　1、检查多次登录失败的情况下，是否会上锁；
　　2、检查同一用户在同一浏览器、不同浏览器上同时登录是否存在互斥情况；
　　3、检查登录成功后复制URL，在其它浏览器中直接录入，是否可直接登录；
　　4、检查登录失败后的提示，是否存在信息泄露，eg：输入不存在的用户名，提示用户名无效；
　　5、检查用户名、密码、验证码一致性校验，是否同时提交给服务端验证，分开提交、分开验证会存在漏洞；
　　6、检查token失效后，系统是否会强制退出。

oliver.tang

感谢分享