TA的每日心情 | 擦汗
前天 08:59 |
|---|
签到天数: 1021 天 连续签到: 2 天 [LV.10]测试总司令
|
Web安全测试
1.登录用户名需要限制输入大小写。
2.登录密码要隐文显示。
3.密码不支持复制粘贴。
4.登录密码在数据库中不能明文显示。
5.登录失败需要限制登录次数(暴力破解)。
6.登录需要添加唯一识别标志(避免CSRF 攻击)。
7.登录用户名和密码不允许进行XSS攻击(,显示文本框)。
8.登录用户名和密码输入框不允许进行SQL注入 or 1=1。
9.登录成功过cookie中是否保存用户名密码需要进行加密。
10.输入任意权限的url链接,可以绕过登录界面(访问控制)。
11.登录成功,进行浏览器后退操作,在进行浏览器前进操作,未跳转到登录页面。
12.Session的失效时间未进行限制。
13.修改上传文件的后缀名为.php格式文件。
14.修改上传文件的Content-Type类型。
15.修改上传文件为截断上传的格式hack.asp%00.jpg文件。
16.修改上传文件格式为/a.asp/xxxxx.jpg文件。
17.验证对文件扩展名的处理方式以使得.exe文件不能上传到服务器或在服务器上执行。
18.输入特殊字符数据,校验系统是否报错。
19.异常数据显示代码(信息泄露)。
20.任意文件下载(修改文件下载链接,更改下载链接的参数,进行下载操作)。
21.修改密码操作,修改的密码需要进行加密处理。
22.验证码明文传输人,验证码后台未校验。
23.验证码重复发送多次10/20/50次,验证码发送次数无限制。
24.登陆–〉退出–〉再次登陆(使用同一个账号) 查看set-cookie信息未更新。
25.水平越权验证,将有权限的用户id修改无权限的用户id(权限控制)。
|
|
/1 
关于我们
发表于 2022-3-10 10:04:47
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
微信
收藏
置顶服务
换色服务
发表于 2022-3-11 16:46:10
