以使用者登入為例,安全測試需要注意哪些方面:
密碼問題:
驗證儲存在後台的使用者密碼是否加密。
驗證使用者密碼在網路中傳輸是否加密。
驗證使用者面是否具有時效性,到期後是否提示使用者更改密碼。
驗證密碼輸入框是否支援複製和貼上
驗證使用者密碼
使用者登入:
沒有登陸的前提之下,在瀏覽器的位址列中直接輸入登入後的url位址,判斷一下是否跳轉到使用者登入介面。
當密碼輸入框中,輸入使用者密碼後,能否在頁面原始碼模式下檢視。
同乙個使用者已經登入後,在其他pc端或手機登入之後,是否互斥。
同一使用者在多台終端的瀏覽器上登入,驗證登入的互斥性。
驗證同一使用者多次登入失敗情況下,驗證系統是否會組織後續的登入以應對暴力破解密碼。
使用者攻擊:
使用者名稱和密碼輸入框中輸入「sql注入攻擊」字串,驗證系統返回頁面
使用者名稱和密碼輸入框中輸入「跨站指令碼攻擊」字串,驗證系統的行為是否被篡改。
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...
mysql安全性試驗 Mysql安全性測試
一 沒有進行預處理的sql語句 1.連線資料庫 conn mysql connect 127.0.0.1 3306 root 518666 if conn die could not connect mysql error 2.選擇資料庫 mysql select db mysql safe con...
安全性測試方法
安全性測試方法採用訪談 檢查 測試三種基本的方法並按照提供的系統安全解決方案,結合功能測試和安全性測試工具完成,最終通過安全性測試結果對系統整體安全體系進行評估。1 訪談。主要是通過與技術開發和管理人員交流和訪談等,獲取相關安全測試的證據。2 檢查。包括文件查閱和現場核查,文件查閱通過檢查技術及管理...