51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1233|回复: 1
打印 上一主题 下一主题

[转贴] 软件测试技术之Web安全性测试简述

[复制链接]
  • TA的每日心情
    无聊
    12 小时前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-3-10 10:04:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
     Web安全测试
      1.登录用户名需要限制输入大小写。
      2.登录密码要隐文显示。
      3.密码不支持复制粘贴。
      4.登录密码在数据库中不能明文显示。
      5.登录失败需要限制登录次数(暴力破解)。
      6.登录需要添加唯一识别标志(避免CSRF 攻击)。
      7.登录用户名和密码不允许进行XSS攻击(,显示文本框)。
      8.登录用户名和密码输入框不允许进行SQL注入 or 1=1。
      9.登录成功过cookie中是否保存用户名密码需要进行加密。
      10.输入任意权限的url链接,可以绕过登录界面(访问控制)。
      11.登录成功,进行浏览器后退操作,在进行浏览器前进操作,未跳转到登录页面。
      12.Session的失效时间未进行限制。
      13.修改上传文件的后缀名为.php格式文件。
      14.修改上传文件的Content-Type类型。
      15.修改上传文件为截断上传的格式hack.asp%00.jpg文件。
      16.修改上传文件格式为/a.asp/xxxxx.jpg文件。
      17.验证对文件扩展名的处理方式以使得.exe文件不能上传到服务器或在服务器上执行。
      18.输入特殊字符数据,校验系统是否报错。
      19.异常数据显示代码(信息泄露)。
      20.任意文件下载(修改文件下载链接,更改下载链接的参数,进行下载操作)。
      21.修改密码操作,修改的密码需要进行加密处理。
      22.验证码明文传输人,验证码后台未校验。
      23.验证码重复发送多次10/20/50次,验证码发送次数无限制。
      24.登陆–〉退出–〉再次登陆(使用同一个账号) 查看set-cookie信息未更新。
      25.水平越权验证,将有权限的用户id修改无权限的用户id(权限控制)。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2021-6-9 14:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    2#
    发表于 2022-3-11 16:46:10 | 只看该作者
    安全性测试越来越被重视了
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-21 22:00 , Processed in 0.061654 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表